連邦政府外のシステムと組織における管理 ... · 2014...

NIST Special Publication 800-171 Revision 1

連邦政府外のシステムと

組織における管理された

非格付け情報の保護

RON ROSS PATRICK VISCUSO GARY GUISSANIE

KELLEY DEMPSEY MARK RIDDLE

本書は、以下より無料で利用可能である： https://doi.org/10.6028/NIST.SP.800-171r1

この文書は以下の団体によって翻訳監修されています

NIST Special Publication 800-171

連邦政府外のシステムと

組織における管理された

非格付け情報の保護

RON ROSS KELLEY DEMPSEY

コンピュータセキュリティ部門情報技術ラボラトリ

米国国立標準技術研究所

PATRICK VISCUSO MARK RIDDLE

情報保全監察局米国国立公文書記録管理局

GARY GUISSANIE

防衛分析研究所 CIO 室補佐

米国国防総省

本書は、以下より無料で利用可能である： https://doi.org/10.6028/NIST.SP.800-171r1

2016 年 12 月

米国商務省

Penny Pritzker、長官

米国国立標準技術研究所

Willie May、標準技術担当次官兼所長代行

Special Publication 800-171 Protecting Controlled Unclassified Information in Revision 1 Nonfederal Systems and Organizations

PAGE ii

発行機関

本文書は、米国国立標準技術研究所（NIST：National Institute of Standards and Technology、以下、NIST と称す）によって、連邦情報セキュリティ近代化法（FISMA：

Federal Information Security Mondernization Act）2014 年、合衆国法典（U.S. Code）第

44 編第 3541 条等、公法（P.L.）113-283 に基づく法的責任を推進するために策定された。

NIST は、連邦情報システムの小限の要求事項を含め情報セキュリティ標準及びガイドラ

インを開発する責務があるが、このような標準及びガイドラインは国家安全保障に適用さ

れてはならず、このようなシステムについての政策的権限を有する適切な連邦機関の明確

な承認が必要となる。このガイドラインは、行政管理予算庁（OMB：Office of Management and Budget）による通達（Circular）A-130 号附属書 IV：鍵の分析セクションで分析され

たものとして、第 8 条 b 項(3)、政府機関の情報システムをセキュア化、通達 A-130 の要求

事項に一致している。補足情報は、通達 A-130 号、附属書 III、連邦政府の自動化された情報リソースのセキュリティで提供される。

本文書における一切は、商務長官が法的権威に基づき連邦政府に対して義務及び拘束力を

与えた標準及びガイドラインを否定するものではない。また、これらのガイドラインは、商

務長官、行政管理予算局長、または他のすべての連邦政府当局者の既存の権威に変更を加え

たり、これらに取って代わるものと解釈したりしてはならない。本文書は、非政府組織が自

由意思で使用することもでき、米国における著作権の制約はないが、NIST に帰属する。

National Institute of Standards and Technology Special Publication 800-171 Natl. Inst. Stand. Technol. Spec. Publ. 800-171, 80 pages（December 2016）

CODEN: NSPUE2

本書は、以下から無料で利用可能である： https://doi.org/10.6028/NIST.SP.800-171r1

本文書に対するコメントは以下に提出できます：

National Institute of Standards and Technology Attn: Computer Security Division, Information Technology Laboratory 100 Bureau Drive（Mail Stop 8930）Gaithersburg, MD 20899-8930

Electronic Mail: [email protected]

すべてのコメントは、連邦情報公開法の下で開示の対象となる。

本文書中で特定される商業的組織、装置、資料は、実験的な手順または概念を適切に説明するためのも

のである。このような特定は、NIST による推奨または同意を意味するものではなく、これらの組織、

資料、または装置が、その目的ために利用可能な善のものであることを意味している訳ではない。

与えられた法的責任に従い、NIST によって現在開発中のその他の文書への参照が本文書にあるかもし

れない。本文書におけるその情報は、概念及び方法論を含め、このような関連文書の完成前であっても

連邦政府によって利用されるかもしれない。したがって、それぞれの文書が完成されるまで、現在の要

求事項、ガイドライン、及び手順は存在する限り運用の効力を有する。計画及び移行目的に関して、連

邦政府は、NIST によるこれらの新しい文書の開発に密接に従うことを希望するかもしれない。

パブリックコメント募集期間中に組織がすべてのドラフト文書をレビューし、NIST へフィードバック

を提供するよう奨励する。上記以外のすべての NIST コンピュータセキュリティ部門の文書は、

http://csrc.nist.gov/publications において利用可能である。


PAGE iii

コンピュータシステムの技術に関する報告書

米国国立標準技術研究所（NIST：National Institute of Standards and Technology）の情

報技術ラボラトリ（ITL：Information Technology Laboratory）は、米国の度量衡と標準規

格に関する基盤において技術的リーダーシップを提供することにより、米国の経済及び社

会福祉に貢献している。ITL は、テストの開発、テスト技法の開発、参照データの作成、概

念実証の実施及び技術的分析を通じて、情報技術（IT）の開発と生産的利用の発展に努めて

いる。ITL の責務には、連邦政府の情報システムにおいて、国家安全保障に関連する情報以

外の情報に対する費用対効果の高いセキュリティとプライバシーを実現するための、技術

面、物理面、管理面及び運用面での標準規格及びガイドラインを策定することを含んでいる。

本 Special Publication 800 シリーズでは、ITL の学術研究、ガイドラインについて、情報

システムのセキュリティ及び産業界、政府機関及び学術機関とのその共同活動における支援活

動の取り組みとともに報告する。

要旨

連邦政府外のシステムと組織に存在する管理された非格付け情報（CUI）の保護は、連邦政

府機関にとっても重要なものであり、連邦政府の指定されたミッションとビジネス運用

をうまく行うための能力に直接影響を及ぼす可能性がある。本書は、以下のときに CUI の

機密性保護についての推奨されるセキュリティ要件を連邦政府機関に対して提供する；こ

のような情報が連邦政府外のシステム及び組織に存在するとき；連邦政府機関が連邦政府

機関を代行して情報を収集または維持しない、または政府機関を代行してシステムを利用

または運用しないとき；及び CUI リポジトリに列挙された CUI カテゴリまたはサブカテゴ

リのために許可している法律、政令、または政府全体の政策によって規定される CUI の機

密性保護の具体的な保障措置としての要件がないような場合。セキュリティ要件は、CUI を

処理し、保存し、または送信するような、あるいはこのようなコンポーネントにセキュリテ

ィ保護を提供するような、連邦政府外のシステム及び組織のすべてのコンポーネントに適

用される。本要件は、それらの政府機関及び連邦政府外の組織の間で確立される契約書のひ

な形として、またはその他の合意での連邦政府による利用を意図している。

キーワード

請負業者システム；管理された非格付け情報；CUI リポジトリ；導出されたセキュリティ

要件；大統領行政命令 13556；FIPS Publication 199；FIPS Publication 200；FISMA；

NIST Special Publication 800-53；連邦政府外のシステム；セキュリティアセスメント；セ

キュリティ管理策；セキュリティ要件。

本文書は、原典に沿ってできるだけ忠実に翻訳するよう努めていますが、

完全性、正確性を保証するものではありません。

翻訳監修主体は、本文書に記載されている情報より生じる損失または損

害に対して、いかなる人物あるいは団体についても責任を負うものでは

ありません。


PAGE iv

謝辞

著者は、本書の全体的な品質、完璧さ、有用性を改善させる思慮深く建設的なコメントを提

供した Carol Bales、Matt Barett、Jon Boyens、Devin Casey、Chris Enloe、Jim Foti、

Rob Glenn、Rich Graubart、Vicki Michetti、Michael Nieles、Pat O’Reilly、Karen Quigg、

Mary Thomas、Matt Scholl、Murugiah Souppaya、及び Pat Toth からの貢献に深く感謝

の意を表する。特に、Peggy Himes と Elizabeth Lennon の素晴らしい管理上の技術編集

支援に対して感謝の意を表します。


PAGE v

注意書

2014 年版の連邦政府情報セキュリティ近代化法（FISMA）は、以下に対する不正なアク

セス、利用、暴露、混乱、改変、または破壊からもたらされるリスクに見合う情報セキ

ュリティ保護を特定し提供することを連邦政府機関に要求する：政府機関によって、ま

たは政府機関を代行して収集または維持される情報；または政府機関によって、または

政府機関の請負業者によって、または政府機関を代行するその他の組織によって、利用

または運用される情報システム。本書は、連邦政府外のシステム及び組織における管理

された非格付け情報（CUI）の機密性保護に焦点を当て、またその目的を達成するための

具体的なセキュリティ要件を推奨する。FISMA で規定される情報セキュリティ要件はど

のようなやり方であっても変更されず、法律のすべての条項、OMB によって制定された

政策、及び NIST によって開発された補足のセキュリティ標準規格とガイダンスに適合

するための連邦政府機関の責任を変更することはできない。

本書で利用するよう推奨される要件は、FIPS Publication 200 及び NIST SP 800-53 の中

位セキュリティ管理策ベースラインから導出され、また CUI 規定（32 CFR Part 2002, 管理された非格付け情報）に基づいている。本要件とセキュリティ管理策は、FISMA の

下で網羅される連邦政府の情報及びシステムの必須の保護を提供するために、時間をか

けて決定されてきた。FIPS Publication 200 セキュリティ要件及び NISTSP800-53 セキ

ュリティ管理策に適用される調整基準は、それらの要件と管理策を除外するための承認

として解釈されるべきではない ― むしろ、調整の基準は、連邦政府外のシステム及び

組織における不正な暴露からの CUI の保護に焦点を当てている。さらに、セキュリティ

要件は、上記列挙された NIST Publications から導出されているので、組織は、それらの

具体的な要件が FIPS Publication200 及び SP 800-53 のセキュリティ要件と管理策を自

動的に満たすと想定するべきではない。

機密性のセキュリティ対策に追加して、完全性と可用性の対策方針が包括的な情報セキ

ュリティ施策の制定と維持に関心がある組織にとって高い優先度を持つ。本書の主たる

目的が CUI の機密性を保護するための要件を定義することであるが、システムレベルで

の下位のセキュリティメカニズムの多くは両方のセキュリティ対策方針を支援するの

で、機密性と完全性の間には緊密な関係がある。本書の推奨事項に興味があるか適合を

要求される組織は、その個別のセキュリティ計画及びセキュリティ管理策の配備が組織

のミッションとビジネス運営に対するサイバー及び動力学的 (訳注：陸、海、空、宇宙

の) 範囲の脅威に対処するために必要で十分な保護を提供することを保証するため、附

属書 E の中位ベースラインのセキュリティ管理策の完全なリストをレビューすることを

強く推奨する。このような脅威への対処は、重要である、なぜなら多くの組織はミッシ

ョンとビジネス上の成功のための情報技術基盤上に依存しているからである。


PAGE vi

本発行文書への期待

2010 年 11 月 4 日付の、大統領行政命令 13556 管理された非格付け情報では、管理さ

れた非格付け情報（CUI）執行機関として指定された、国立公文書記録管理局（NARA）は、CUI 施策を実施するために必須である、このような行政命令を策定し発行しなけれ

ばならないと制定した。連邦政府にわたる統一政策と実践を制定するための本任務と

CUI 施策のミッションと整合しつつ、NARA は、政府全体の必須の管理策と CUI のマー

ク付けを制定するような連邦規定を 2016 年に発行しようとしている。本連邦規定は、一

度発行されると、CUI 施策によって確立される、標準保障措置、マーク付け、配布、及び

管理除外要件を執行府の全体にわたる機関に適用するよう結び付けられる。

連邦政府情報システムに関して、中位の機密性影響レベルで CUI を保護するための連邦

規定は、OMB によって制定された適用可能な政策及び NIST によって発行された適用可

能な政府全体の標準規格及びガイドラインに基づいている。本連邦規定は、OMB と NISTによってすでに制定された、これらの政策、標準規格、及びガイドラインを作成する訳

ではない。しかし、本連邦規定は、行政府のいたるところにわたり一貫したやり方で政

策の固守及び標準規格とガイドラインの利用を要求し、請負業者を含めて、連邦政府と

それらの連邦政府外のパートナーに対して現在の複雑さを軽減する。

連邦政府内での CUI の保障措置要件の定義に加えて、NARA は、連邦政府外の情報シス

テム及び組織における CUI 保護のセキュリティ要件を定義している―SP 800-171 を

NIST と共に作ることによって、連邦政府外の組織におけるそのような要件の潜在的な影

響を軽減するようなステップを取る。このアプローチは、連邦政府外の者、請負業者を

含めて、政府特有のアプローチの利用を試行するよりもむしろ、すでに行われているシ

ステムや実践を用いてセキュリティ要件に適合するために役立つだろう。連邦政府外の

組織が法律及び政令の要件に適合できるように、CUI 保護のための保障措置を一貫して

実装できるように、連邦政府外のシステムに調整された、すべての CUI セキュリティニ

ーズの標準化された統一の要件集についても提供するだろう。

後に、NARA は、CUI 行政機関としての資格で、連邦政府 CUI 規定及び SP 800-171を含む要求事項を請負業者に適用するような、唯一の連邦調達規則（FAR：Federal Acquisition Regulations）条項を 2017 年に提供することも計画している。これは、さら

に、同じ情報に対する連邦政府機関からの異なる要件と矛盾するようなガイダンスは、

混乱と非効率性を増大させるため、契約条項の現在の範囲と種別を満たそうとするかな

りの数の連邦政府外の組織にとって利益となるような標準化を推進するだろう。CUI FAR 条項は、NIST SP 800-171 のセキュリティ要件の検証と適合要件にも対処する。こ

のような FAR 条項の制定についての正式プロセスが実施されるまで、NIST SP 800-171は、連邦政府法及び政令の要件と一貫する連邦政府契約において参照されてもよい。も

し、必要があれば、SP 800-171 は、連邦政府 CUI 規定と FAR 条項とも一貫性を残すよ

うに更新されるだろう。


PAGE vii

用語情報システムの定義と用途

法律、規制、または政府全体の政策によって規定されることなしに、本書における用語

情報システムの使用は、用語システムによって置き換えられる。この変更は、例えば以

下のようなものを含む情報システムのより幅広い、全体的な定義を反映する：汎用情報

システム；産業及びプロセス制御システム；サイバーフィジカルシステム；及び Internet of Things(IoT) の一部である個人デバイス。コンピューティングプラットフォームと技

術はユビキタスに世界規模で配備が進んでおり、システムやコンポーネントは有線及び

無線ネットワークを介して接続され、管理された非格付け情報の紛失や危殆化に対する

影響されやすさは、増大している―このような事件からもたらされる悪影響の可能性が

ある。


PAGE viii

重要インフラのサイバーセキュリティの改善のためのフレームワーク

重要インフラのサイバーセキュリティの改善のための NIST フレームワークを実装した、

または実装を計画している組織は、本書の附属書 D で、管理された非格付け情報（CUI）セキュリティ要件から NIST SP 800-53 及び ISO/IEC 27001 への直接のマッピングを見

つけることができる。一度特定されれば、それらの管理策はサイバーセキュリティフレ

ームワークのコア機能に対応する具体的なカテゴリとサブカテゴリに配置可能である：

識別、保護、検知、応答、及び回復。情報をマッピングしているセキュリティ管理策は、

このようなプログラムが NIST または ISO/IEC セキュリティ管理策の周辺で構築された

とき、確立された情報セキュリティプログラムにおけるセキュリティ要件への適合性の

実証を希望する組織にとって有用であるに違いない。以下を参照 http://www.nist.gov/cyberframework。


PAGE ix

目次

第 1 章 ................................................................................................................................... 1

1.1 目的と適用可能性 ..................................................................................................... 2

1.2 対象読者 .................................................................................................................... 4

1.3 本特別発行文書の構成 .............................................................................................. 4

第 2 章 ................................................................................................................................... 5

2.1 基本的な前提条件 ..................................................................................................... 5

2.2 セキュリティ要件の開発 .......................................................................................... 6

第 3 章 ................................................................................................................................... 8

3.1 アクセス制御 .............................................................................................................. 9

3.2 意識向上と訓練 ....................................................................................................... 10

3.3 監査と責任追跡性(説明責任) .................................................................................. 10

3.4 構成管理 .................................................................................................................. 10

3.5 識別と認証 .............................................................................................................. 11

3.6 インシデント対応 ................................................................................................... 11

3.7 メンテナンス .......................................................................................................... 12

3.8 メディア保護 .......................................................................................................... 12

3.9 人的セキュリティ ................................................................................................... 13

3.10 物理的保護 .............................................................................................................. 13

3.11 リスクアセスメント ................................................................................................ 13

3.12 セキュリティアセスメント ..................................................................................... 13

3.13 システムと通信の保護 ............................................................................................ 14

3.14 システムと情報の完全性 ........................................................................................ 14

附属書 A ............................................................................................................................. 17

附属書 B ............................................................................................................................. 18

附属書 C ............................................................................................................................. 27

附属書 D ............................................................................................................................. 28

附属書 E ............................................................................................................................. 51


PAGE x

正誤表

本表には、SP 800-171 へ組み込まれた変更が含まれている。正誤表の更新は、本出版に

おける、本来エディトリアルまたは実質的のいずれかであるような訂正、明確化、または

その他のマイナーチェンジが含まれる。

日付種別変更ページ


第 1 章 PAGE 1

第 1 章

はじめに管理された非格付け情報の保護の必要性

今日、歴史上のいつにも増して、連邦政府は実運用している情報システム1を用いて幅広い

範囲の連邦政府の使命とビジネス機能の実施を支援するため外部サービス提供者に依存し

ている。多くの連邦政府の請負業者は、例えば、連邦政府機関への基本的な製品やサービ

スの提供をサポートするための情報システムにおける機微な連邦政府情報を日常的に処

理、保存、送信している(例、クレジットカード及びその他の財務サービスの提供；ウェブ

及び電子メールサービスの提供；保全許可のための身元調査の実施；医療データの処理；

クラウドサービスの提供；通信、衛星、及び兵器システムの開発)。さらに、連邦政府情報

は、州政府及び地方政府、大学、及び独立研究機関のようなエンティティとの間で、頻繁

に提供または共有される。連邦政府外のシステム2及び組織に存在している間の機微な連邦

政府情報の保護は、連邦政府機関にとっても重要であり、重要インフラに関連するその

指定された使命とビジネス機能を含めて、連邦政府がその使命とビジネス運営をうまく成

し遂げる能力に直接的に影響を及ぼす可能性がある。

連邦政府外のシステム及び組織における非格付け連邦政府情報の保護は、連邦政府機関に

よって日常的に利用されるような異なった種別の情報を特定するための統制された構造化

されたプロセスを提供している連邦政府に依存している。2010 年 11 月 4 日に、大統領

は、大統領行政命令 13556、管理された非格付け情報（Controlled Unclassified Information）に署名した。本大統領行政命令は、行政機関(省)が保護を要求するような非

格付け情報を取り扱う方法を規格化するため、政府全体の管理された非格付け情報 (CUI)3 プログラムを確立し、本プログラム実施する行政機関(局)4として国立公文書記録管理局

(NARA)を指定した。連邦法、規制、または政府全体の政策に準拠する保障措置または配

布管理策を要求するような情報のみが CUI として指定されることがある。

CUI 施策は、手順の標準化によるものと CUI レジストリを介して共通の定義を提供する

ことによるものの両方により、一貫しないマーク付け、不適切な保障措置、及び不必要な

制約事項を含むような非格付け情報の管理と保護におけるいくつかの欠如に対処するため

に設計された。CUI レジストリは、CUI 執行機関による発行を含め、CUI の取り扱いに

おける情報、ガイダンス、ポリシー及び要件についてのオンラインリポジトリである。そ

の他の情報の間で、CUI レジストリは、承認された CUI カテゴリとサブカテゴリを特定

し、それぞれについて概説を提供し、管理策の基本を特定し、情報のマーク付け、保障措

1情報システムとは、情報の収集、処理、維持、利用、共有、配布、または廃棄のために体系化された情報資源の個別

の集まりである。情報システムには、例えば、産業／プロセス制御システム、サイバー・物理的システム、組込みシス

テム、及びデバイスのような、特化したシステムも含まれる。用語システムには、本発行文書全般において、CUI を処理、格納、または送信できるようなコンピューティングプラットフォームのすべてのタイプを表すために使用され

る。 2 連邦政府情報システムとは、行政機関（局）によって、行政機関の請負業者によって、または行政機関を代行する別

の組織によって利用され運用されるシステムである。このような基準を満たさない情報システムが非連邦情報システム

である。

3 管理された非格付け情報は、法律政令、または政府全体のポリシーが安全防護または配布管理を行うことを要求する

ような情報である、大統領行政命令 13526,格付けされた国家安全保障情報（Classified National Security Information）、2009 年 12 月 29 日付、または以前のまたは後継の大統領行政命令、または 1954 年の原子力エネルギー法、その改正を

含む、の下で格付けされる情報を除く。

4 NARA は、NARA の一部門、米国情報保全監察局（ISOO：Information Security Oversight Office）に本権限を委任し

た。


第 1 章 PAGE 2

置、配送、配付、再利用及び廃棄を含むがこれに限らない CUI の利用手順について着手す

る。

大統領行政命令 13556 は、CUI 施策が政府の実践の公開性、透明性、統一性について強調

していること、施策の実施が行政管理予算庁 (OMB：Office of Management and Budget) により制定された適用可能な政策と米国国立標準技術研究所 (NIST：National Institute of Standards and Technology) により発行された連邦標準規格とガイドラインと一貫した

やり方で行われていることについても要求した。CUI 執行機関により策定された、連邦政

府 CUI 規定5は、CUI の指定、保障措置、配付、マーク付け、管理除外、及び廃棄に関す

る連邦政府機関へのガイダンスを提供し、自己点検及び監督要件の確立、及び本施策のそ

の他の断面を描写する。

1.1 目的と適用可能性本書の目的は、CUI が連邦政府外の情報システム及び組織にあるとき； CUI があるような

情報システムが使用されない、または連邦政府機関の請負業者またはそれらの機関6を代行

する組織によって運用されないとき；及び CUI レジストリ7に列挙された CUI 分類または

小分類について許可している法律、規制、または政府全体の政策によってあらかじめ規定さ

れた CUI の機密性を保護するための具体的な安全防護の要件が一切ないような場合に、

CUI の機密性を保護するための連邦政府機関に推奨されるセキュリティ要件を提供するこ

とである。本要件は、CUI を処理し、保存し、または送信するような、またはこのようなコ

ンポーネント8のセキュリティ保護を適用するような、連邦政府外のシステムのコンポーネ

ントへのみ適用される。CUI 要件は、適切な契約的な手段またはそれらの機関と連邦政府

外の組織との間で確立されたその他の合意において、連邦政府機関による使用を意図して

いる。CUI ガイダンス及び CUI 連邦政府調達令 (FAR) 9において、CUI 行政機関(局)は、

5 32CFR Part 2002、管理された非格付け情報、が 2016 年 9 月 14 日に発行された；2016 年 11 月 14 日に施行。

6 連邦政府機関を代行して情報を収集または維持し、または政府機関を代行してシステムを使用または運用する、非連

邦政府組織は、FISMA の要件に、FIPS Publication 200 の要件及び NIST SP 800-53 のセキュリティ管理策を含め

て、適合しなければならない(44 USC 3554(a)(1)(A)を参照)。

7 本発行文書の要件は、上級政府機関職員が非連邦政府システム及び組織に存在する CUI を含め、彼らの管理下の運

用と資産をサポートするような、その情報に対する情報セキュリティを提供するために、FISMA の要件に適合するよ

うにするため、使用可能である。(44 USC 3554(a)(1)（A）及び 3554(a)(2)を参照)

8 システムコンポーネントには、例えば、以下が含まれる：メインフレーム、ワークステーション、サーバ；入出力デ

バイス；ネットワークコンポーネント；オペレーティングシステム；仮想マシン；及びアプリケーション。

9 NARA は、CUI 行政機関としての立場で、提案された連邦政府 CUI 規定及び NISTSP 800-171 の要件を請負業者に

適用するような唯一の FAR 条項を 2016 年に提供することを計画している。このような唯一の FAR 条項を制定する正

式プロセスが施行されるまで、NIST SP 800-171 のセキュリティ要件は、連邦政府法及び政令の要件と一貫した連邦

政府契約において参照されてもよい。

CUI に対する単一状態セキュリティソリューションを実装する

管理された非格付け情報は、このような情報が連邦政府機関の一部ある連邦政府システムにあっても、非連

邦政府組織の一部である非連邦政府システムにあっても、同じ価値がある。それぞれ、本発行文書に含まれ

るセキュリティ要件は、CUI を保護するために連邦政府機関によって使用される規格とガイドラインに対し

て一貫しており、補足するものである。


第 1 章 PAGE 3

セキュリティ要件10への適合性の判断に対処すること。

連邦政府 CUI 規制に従って、CUI を処理し、保存し、または送信するための連邦政府シス

テムを用いる連邦政府機関は、小限、以下に適合しなければならない(must)：

連邦情報処理規格 (FIPS) Pub 199、連邦政府の情報及び情報システムに対するセ

キュリティ分類規格 Standards for Security Categorization of Federal Information and Information Systems (moderate confidentiality impact)11

連邦情報処理規格 (FIPS) Pub 200、連邦政府の情報及び情報システム対する低

限のセキュリティ要求事項 Minimum Security Requirements for Federal Information and Information Systems；

NIST Special Publication 800-53、連邦政府情報システム及び連邦組織のためのセキ

ュリティ管理策とプライバシー管理策 Security and Privacy Controls for Federal Information Systems and Organizations；及び

NIST Special Publication 800-60、情報及び情報システムのタイプとセキュリティ分

類のマッピングガイド Guide for Mapping Types of Information and Information Systems to Security Categories12。

CUI を保護及び CUI の制御を保証するための連邦政府機関の責任は、このような情報が連

邦政府外のパートナーと共有されるときも変わらない。従って、CUI が処理され、保存さ

れ、または連邦政府外のシステム13を用いる連邦政府外の組織に送信されるときに同レベル

の保護が必要とされる。連邦政府外のシステム及び組織での CUI を保護するための具体的

な要件が一貫したレベルの保護を維持するために上記の正式な連邦政府標準及びガイドラ

インから導出されている。しかし、連邦政府の CUI 規制における保護要件の適用範囲が機

密性のセキュリティ対策に限定されること(即ち、完全性と可用性には直接対処していない)、及び NIST 標準及びガイドラインで記述されたセキュリティ要件のいくつかが一意に連邦

政府のものであることを特定しつつ、本書の要件が連邦政府外のエンティティ用に調整して作られた。

第 2 章で記述された基準の調整は、連邦政府の CUI 規制において記述されるとおり、CUIの保護のための連邦政府の要件を軽減または小限にすることを意図していない。むしろ、

その意図は、連邦政府外の情報システム及び組織内の等価な保護対策を促進することを許

容するようなやり方で要件を表明することである。本書に記述されたそれらの要件以外の

追加または異なる要件は、このような要件が法律、規制、または政府全体のポリシーに基づ

いているとき、及び CUI 規定として CUI レジストリにて示されたときにのみ適用されても

よい。特定の規定された分類における CUI のための保護要件の条項は、CUI ガイダンス及

10 NIST Special Publication 800-171A (2017 年発行が計画されている) 別冊文書は、第 3 章のセキュリティ要件への

適合性を組織が決定する支援として、評定手順を提供するだろう。

11 FIPS Publication 199 は、セキュリティの違反（即ち、機密性の喪失）があるはずの、組織、資産または個人への

潜在的な影響の 3 つの値（即ち、低度、中位、高度）について定義している。機密性の喪失が組織の運営、組織の資産

または個人への深刻で不利な影響を与えると予想される場合、潜在的な影響は、中位となる。

12 NIST Special Publication 800-60 は、CUI レジストリの CUI カテゴリ及びサブカテゴリと整合させるために改訂

中である。

13 非連邦政府組織は、非連邦政府情報システムを所有し、運用し、維持するような任意のエンティティである。非連

邦政府組織の例には、以下が含まれる：州、地方、及び部族の政府；大学と大学院；請負業者。


第 1 章 PAGE 4

び CUI FAR における NARA によって対処されており、契約やその他の合意における具体

的な要件として反映される。

CUI の保護を委託された連邦政府外の組織は、CUI の処理、保存、または送信用のシステ

ムまたはコンポーネントを指定し、次にそれらの組織は、それらのシステムまたはコンポー

ネントのみにセキュリティ要件の適用範囲を制限してもよい。アーキテクチャ設計概念を

適用することによって CUI をそれ自体のセキュリティドメインへ隔離することは、もコ

スト的に有効であり、連邦政府外の組織にとってセキュリティ要件を満たし、CUI の機密

性を保護するために有効なアプローチであるかもしれない。セキュリティドメインは、物理

的分離、論理的分離、または両方の組み合わせを採用してもよい。このアプローチは、合理

的に適切なセキュリティを CUI に対して提供する、またミッション、運用、及び資産を保

護するために通常要求されるようなレベルを超えた組織のセキュリティ姿勢の増加を回避

する。連邦政府外の組織は、根拠となる法律、規制、または政府全体のポリシーによって要

求または許可される具体的な保護を含めて、CUI 基盤が組織の CUI 関連契約及び／または

合意のすべてに対する保護要件を満たす限り、複数の政府契約または合意に対して、同じ

CUI 基盤の使用を選択してもよい。

1.2 対象読者本書は、官及び民間の両方の多様な個人のグループと組織に対して、以下を含めるが、それ

に限定されない対象に提供することを意図している：

システム開発ライフサイクルに責任を持つ個人(例、プログラム管理者、ミッション／

ビジネスオーナ、情報オーナ／担当者、システム設計者及び開発者、システム／セキュ

リティ技術者、システムインテグレータ)；

取得または調達に責任を持つ個人(例、契約担当官)；

システム、セキュリティ、またはリスク管理及び監督に責任を持つ個人(例、許可責任

者、高情報責任者、高情報セキュリティ責任者、システムオーナ、情報セキュリテ

ィ管理者)；及び

セキュリティ評定及び監視に責任を持つ個人(例、監査者、システム評価者、アセッサ、

独立検証者／認証者、分析者)。

上記役割と責任は、1 つの異なる視点から見ることができる：連邦政府の視点では、契約上

の輸送手段またはその他の種別の組織間の合意におけるセキュリティ要件を確立し運搬し

ているエンティティとして；及び連邦政府外の視点では、契約または合意において実施され

るセキュリティ要件に対応し、適合しているエンティティとして。

1.3 本特別発行文書の構成本特別発行文書の残りは、以下のように構成されている：

第 2 章は、CUI セキュリティ要件を開発するために利用される前提条件と方法、要件

のフォーマットと構造、及び要件を得るための NIST 標準とガイダンスに適用される

調整基準について記述する。

第 3 章は、連邦政府外の情報システム及び組織における CUI の機密性の保護のための

セキュリティ要件の 14 のファミリについて記述する。


第 1 章 PAGE 5

補足の附属書は、連邦政府外のシステムと組織における CUI の保護に関連する追加の

情報について以下を含めて提供する：一般的な参照情報；定義と用語集；頭字語；NIST Special Publication 800-53 と ISO/IEC 27001 におけるセキュリティ管理策へのセキ

ュリティ要件に関連するマッピングテーブル；及び中位のセキュリティ管理策ベース

ラインで採用された調整アクションの説明。


第 2 章 PAGE 5

第 2 章基盤 CUI セキュリティ要件を開発するための前提条件と方法

本章は、連邦政府外のシステム及び組織における CUI を保護するためのセキュリティ要件

を開発するために使用される前提条件と方法論；基本及び導出された CUI 要件の構造；及

び連邦政府情報セキュリティ要件及び管理策へ適用される基準の調整について記述する。

2.1 基本的な前提条件

本発行文書で記述されるセキュリティ要件は、3 つの基盤となる前提条件に基づいて開発さ

れた：

CUI の保護についての法定の及び規制上の要件は、このような情報が連邦政府システ

ムに存在するか、または連邦政府外のシステムに存在するかどうかにかかわらず、それ

らのシステムが動作するような環境を含めて、一貫している；

CUI を保護するために実装された保障措置は、連邦政府及び連邦政府外のシステムと

組織において一貫している；及び

CUI についての機密性影響値は、中位(moderate)14よりも低くてはならない、これは連

邦情報処理標準(FIPS) Publication 19915に従う。

上記前提条件は、CUI として指定された連邦政府情報が同じ本質的な値と危殆化した場合

の潜在的な悪影響―このような情報が連邦政府または連邦政府外の組織に存在するかどう

かにかかわらず。従って、CUI の機密性保護は、連邦政府機関のミッションとビジネスの成

功及び国家の経済及び国家安全保障上の利益に対して重要である。CUI セキュリティ要件

の開発に影響も与えている追加の前提条件及び連邦政府外のエンティティとの協力におけ

る連邦政府機関の期待は、以下を含む：

連邦政府外の組織は、所定の情報技術基盤を有し、CUI を処理、保存、または送信する

目的で特別にシステムを開発したり、調達したりする必要はない；

連邦政府外の組織は、セキュリティ要件を満たすために十分でもあるようなそれらの

情報を保護するために所定の具体的な保障措置を有している；

連邦政府外の組織は、セキュリティ要件を満たすため、さまざまな潜在的なセキュリテ

ィソリューションを直接的にまたは管理されたサービスの利用を通して実施すること

が可能である；そして

14 FIPS Publication 199 で定義された中位影響値は、FIPS Publication 200 の中位影響システムの一部となるかもし

れない、順番に、NIST Special Publication 800-53 の中位セキュリティ管理策ベースラインの利用を調整活動の出発

点として要求する。

15 32 CFR 2002(g)に従って、CUI は、中位機密性影響値以上に分類される。しかし、CUI の管理策を確立するような

連邦政府法、政令、または政府全体のポリシーが中位機密性ベースラインの管理策とは異なる管理策を規定するとき、

これらに従うこと。


第 2 章 PAGE 6

連邦政府外の組織は、セキュリティ要件のすべてを満たすために必要な組織構造また

は資源を持たないかもしれない、また同等に有効な、特定な要件を満たせないものに

対して補うようなセキュリティ対策を代替策として実施するかもしれない。

2.2 セキュリティ要件の開発連邦政府外のシステム及び組織における CUI の機密性保護のセキュリティ要件は、うまく

定義された基本的セキュリティ要件セクション及び導出されたセキュリティ要件セクシ

ョンから構成されている。基本的セキュリティ要件は、連邦政府情報及びシステムについ

ての上位レベルかつ基盤セキュリティ要件を提供する、FIPS Publication 200 から得られ

る。基本的セキュリティ要件を補足する、導出されたセキュリティ要件は、NIST Special Publication 800-53 のセキュリティ管理策から得られる。FIPS Publication 200 中位のベ

ースラインにおけるセキュリティ要件及びセキュリティ管理策を用いて開始しつつ(即ち、

連邦政府システム及び組織で CUI に対して要求される小レベルの保護)、要件と管理策

は、以下のような要件、管理策、または管理策の一部を取り除くため、調整される：

連邦政府独自に(即ち、第一に連邦政府の責任)；

CUI の機密性保護に直接関連しない；または

規定16せずとも非連邦組織によって日常的に満たされることが期待される。

附属書 E は、CUI 導出されたセキュリティ要件と上記の CUI 調整基準に基づいて NIST SP800-53 中位ベースラインから取り除かれたそれらの管理策をサポートするようなセキ

ュリティ管理策の完全なリストを提供する。

基本的及び導出されたセキュリティ要件の組み合わせは、連邦政府外のシステム及び組織

における CUI の機密性保護に関して、FIPS Publication200 及び NIST Special Publication 800-53 の意図を取り込んでいる。附属書 D は、NIST Special Publication 800-53 と ISO/IEC 27001 における関連するセキュリティ管理策へのセキュリティ要件の

非形式的なマッピングを提供する。マッピングには、セキュリティ要件のよりよい理解を

促進するために含まれ、連邦政府外の組織における追加の要件を課すような意図はない。

構成管理ファミリから取られた以下の例は、典型的なセキュリティ要件の構造を説明す

る：

基本的セキュリティ要件：

- 個別のシステム開発ライフサイクル全体で、組織のシステム (ハードウェア、ソフトウェア、ファー

ムウェア、及び証拠資料 (文書) 管理を含めて) のベースライン構成とインベントリを確立し、維持

する。 - 組織のシステムで採用された情報技術製品のセキュリティ構成設定を確立し、強制 (実施) する。

導出されたセキュリティ要件：

- システムへの変更を追跡、レビュー、承認／非承認、及び監査する。 - 実装に先立ち、変更のセキュリティへの影響を分析する。 - システムへの変更に関連する物理的及び論理的なアクセス制約事項を定義し、文書化し、承認し、強

16 調整された FIPS Publication 200 セキュリティ要件と NIST SP 800-53 中位セキュリティ管理策ベースラインから

開発されたセキュリティ要件は、包括的な情報セキュリティプログラムに必要な保障措置のサブセットとして表され

る。非連邦政府組織におけるこのようなプログラムの強度と品質は、その組織が連邦政府による規定なしに日常的に満

たされると期待されるようなセキュリティ要件と管理策を実装するような度合いに依存する。これには、有効なリスク

ベースの情報セキュリティプログラムをサポートするような、セキュリティポリシー、手順、及び実践の実装が含まれ

る。非連邦政府組織は、第 3 章のセキュリティ要件の適用範囲外と思われる中位のベースラインのセキュリティ管理策

の完全なリストとして、附属書 E 及び SP 800-53 を参照することが推奨される。


第 2 章 PAGE 7

制 (実施) する。 - 基本的な機能のみを提供するようシステムを構成することによって、小限の機能の原則を採用する。 - 非基本のプログラム、機能、ポート、プロトコル、及びサービスの使用を制限、無効化、及び防止す

る。 - 許可されないソフトウェアの使用を防止するために例外による拒否 (ブラックリスト) ポリシーを、

または許可されたソフトウェアの実行を許可するような例外による許可 (ホワイトリスト) ポリシー

を適用する。 - 利用者がインストールしたソフトウェアを管理し、監視する。

使いやすさのために、セキュリティ要件は、14 のファミリで構成されている。それぞれの

ファミリには、そのファミリの一般的なセキュリティトピックに関連する要件が含まれて

いる。ファミリは、FIPS Publication 200 に記述された連邦政府情報及びシステムの小

限のセキュリティ要件を用いて密接に整理されている。コンティンジェンシープラン(緊急時対応計画)、システム及びサービス調達、及び計画要件は、前述の調整の基準17のため本

発行文書の適用範囲には含まれない。表１には、本発行文書で対処されるセキュリティ要件

ファミリを列挙している。

表 1：セキュリティ要件ファミリ

ファミリファミリ

アクセス制御メディア保護

意識向上と訓練要員のセキュリティ

監査と責任追跡性物理的保護

構成管理リスクアセスメント

識別と認証セキュリティアセスメント

インシデント対応システムと通信の保護

メンテナンスシステムと情報の完全性

17 3 つの例外には以下が含まれる：緊急時対応計画ファミリからのシステムバックアップの機密性を保護するための要

件（CP-9 から導出）；計画ファミリからのシステムセキュリティ計画を策定及び実装するための要件（PL-2 から導

出）；システムとサービス調達ファミリからのシステムセキュリティエンジニアリングの原則を実装するための要件

（SA-8 から導出）。利便性のため、これらの要件は、CUI メディア保護、セキュリティ評価、及びシステムと通信保護の要件ファミリにそれぞれ含まれる。


第 3 章 PAGE 8

第 3 章要件 CUI の機密性を保護するためのセキュリティ要件

本章は、連邦政府外のシステムと組織における CUI の機密性を保護18するためのセキュリティ

要件の 14 のファミリ(基本的及び導出された要件を含めて) について記述する。基本的及び導出

された要件に関連する NIST Special Publication 800-53 からのセキュリティ管理策は、附属書

D19 でも列挙されている。組織は、セキュリティ要件に関連する追加の、自由な情報 (例、参照

されるセキュリティ管理策のそれぞれに関連する補足ガイダンス、ISO/IEC セキュリティ管理

策へのマッピングテーブル、及び必要に応じて追加のセキュリティ要件の指定を支援するため

に利用可能なオプションの管理策の一覧) を取得するため、Special Publication 800-53 を利用

することができる。この情報は、ミッションとビジネスの要件、運用環境、またはリスクアセス

メントとの関連で、要件の明確化または解釈に役立てることが可能である。非連邦組織は、セキ

ュリティ要件を満たすため、直接にまたは管理されたサービスの利用を通して、さまざまな可能

性のあるセキュリティソリューションを実装でき、また代替策であるが、特定の要件20を満たす

ことができないものについて補償するような、同様の効果を有するセキュリティ対策を実装し

てもよい。

非連邦組織は、システムセキュリティ計画において、指定されたセキュリティ要件がどのように

満たされるか、または組織計画が要件をどのように満たすかについて記述するべきである。計画

にはシステムの境界；運用環境；セキュリティ要件の実装される方法；及びその他のシステムと

の関係やコネクションについて記述される。連邦政府外の組織は、実装されないセキュリティ要

件がどのように満たされるか、及び計画される軽減策がどのように実装されるかについて記述

されるような行動計画を立案するべきである。組織は、システムセキュリティ計画及び行動計画

を別文書または統合された文書として任意のフォーマットで文書化することができる。

要求されたとき、システムセキュリティ計画、及びそれに関連する、計画された実装または軽減

策についての行動計画は、連邦政府外の組織の実装または計画されたセキュリティ要件の実装

を論証するため責任のある連邦政府機関／契約担当官へ提出されるべきである。連邦政府機関

は、提出されたシステムセキュリティ計画と行動計画について、連邦政府外の組織によって運用

されるシステム上の CUI を処理、保存、または送信するため、及び連邦政府外の組織との合意

または契約を進めることが望ましいかどうかの、全体的なリスク管理上の決定への重要な入力

として検討するかもしれない。

本発行文書のセキュリティ要件は、連邦政府外の組織の内部システムが CUI を処理、保存、ま

たは送信に適用されるべきである。特化したシステム(例、産業／プロセス制御システム、コン

ピュータ数値制御マシン、医療デバイス)を含めて、何らかのシステムは、特定のセキュリティ

要件の適用において、制約または制限があるかもしれない。このような課題に対応するため、シ

18 本出版文書の目的は CUI の機密性を保護するための要件を定義することであるが、多くの下位のセキュリティメカ

ニズムがシステムレベルにおいて、機密性と完全性の両方のセキュリティ対策方針をサポートするため、機密性と完全

性の間には緊密な関係が存在する。従って、完全性の要件（基本または導出のいずれか）は、重要であり、間接的では

あるが、組織が CUI の機密性を保護する能力に影響を及ぼすかもしれない。

19 附属書 D のセキュリティ管理策参照は、セキュリティ要件をよりよく理解するために含まれている。管理策参照

は、非連邦政府組織に追加の要件を導入することを意図していない。さらに、セキュリティ管理策は連邦政府機関のた

めに開発されたものなので、それらの管理策に対応する補足ガイダンスは、非連邦政府組織には適用できないかもしれ

ない。

20 一貫性、透明性、及び互換性を促進するため、組織によって選択された補償的なセキュリティ対策は、以下の例を

含めて、既存の、かつ認識されたセキュリティ標準と管理策のセットに基づいたものであるべき、または導出されたも

のであるべきである：ISO/IEC 27001 または NIST SP 800-53。


第 3 章 PAGE 9

ステムセキュリティ計画は、要件 3.12.4 で反映されるものとして、セキュリティ要件への不朽

の例外を記述するために使用されるべきである。個別の、孤立した、または一時的な欠乏は、要

件 3.12.2 で反映されるとおり、行動計画を通して管理されるべきである。

3.1 アクセス制御

基本的セキュリティ要件

3.1.1 システムアクセスを許可された利用者、許可された利用者を代行して動作するプロセス、または

デバイス(その他のシステムを含めて) に制限する。

3.1.2 システムアクセスを許可された利用者に対して実行が許可された種類のトランザクション及び機

能に制限する。

導出されたセキュリティ要件

3.1.3 承認された権限付与に従って CUI のフローを制御する。

3.1.4 共謀のない悪意のあるアクティビティのリスク低減のため、個人の職務を分離する。

3.1.5 具体的なセキュリティ機能と特権アカウントを含め、特権の小化の原則を採用する。

3.1.6 非セキュリティ機能をアクセスするときは、非特権アカウントまたは役割を使用する。

3.1.7 非特権利用者による特権機能の実行とこのような機能の実行の監査を防止する。

3.1.8 ログイン試行失敗を制限する。

3.1.9 適用可能な CUI 規則と整合性のあるプライバシーとセキュリティの通知を提供する。

3.1.10 非アクティブな時間の経過後、データのアクセス及び閲覧を防止するため、パタンによる不可視

化表示を用いてセションロックを使用する。

3.1.11 定義された条件の後、利用者セションを(自動的に) 終了する。

3.1.12 リモートアクセスセションを監視し、制御する。

3.1.13 リモートアクセスセションの機密性を保護するために暗号メカニズムを採用する。

3.1.14 管理されたアクセス制御ポイントを介してリモートアクセスをルーティングする。

3.1.15 特権コマンドのリモート実行とセキュリティ関連情報へのリモートアクセスを許可する。

3.1.16 無線のコネクションを許可する前に無線アクセスを許可する。

3.1.17 認証と暗号化を用いて無線アクセスを保護する。

3.1.18 モバイルデバイスのコネクションを制御する。

3.1.19 モバイルデバイス及びモバイルコンピューティングプラットフォーム21上の CUI を暗号化する。

3.1.20 外部システムへのコネクション及び使用を検証し、制御／制限する。

3.1.21 外部システム上での組織のポータブルストレージデバイスの使用を制限する。

3.1.22 公開アクセス可能なシステムにおいて掲載または処理される CUI を制御する。

21 モバイルデバイスおよびモバイルデバイスコンピューティングプラットフォームには、例えば、スマートフォン、

タブレット、電子リーダ、及びノート PC が含まれる。


第 3 章 PAGE 10

3.2 意識向上と訓練


3.2.1 組織のシステムの責任者、システム管理者、及び利用者が、彼らのアクティビティに関連するセ

キュリティリスク及びそれらのシステムのセキュリティに関連する適用可能なポリシー、基準、

及び手順について周知されていることを、保証する。

3.2.2 組織の要員が、その割り当てられた情報セキュリティ関連の職務と責任を遂行するために適切に

訓練されていることを、保証する。


3.2.3 内部からの脅威の潜在指標の認識と報告についてのセキュリティ周知訓練を提供する。

3.3 監査と責任追跡性(説明責任)


3.3.1 非合法の、許可されない、または不適切なシステムアクティビティの監視、分析、調査、及び報

告を可能とするために必要な範囲で、システム監査記録を作成、保護、及び維持する。

3.3.2 個別のシステム利用者のアクションが、彼らのアクションについての説明責任を維持可能にする

よう、それらの利用者に対して一意に追跡が可能であることを保証する。


3.3.3 監査された事象をレビューし、アップデートする。

3.3.4 監査プロセス失敗の事象においてアラート(警告) を発する。

3.3.5 監査記録のレビュー、分析、及び調査のための報告プロセスを集めて相互の関係を比較し、不適

切な、疑わしい、または異常なアクティビティの兆候に対応する。

3.3.6 オンデマンド分析と報告をサポートするため、監査の簡素化と報告書生成を提供する。

3.3.7 監査記録のタイムスタンプを生成するための正式な情報源を用いて、内部システムクロックを比

較し同期するようなシステム機能を提供する。

3.3.8 監査情報と監査ツールを不正なアクセス、改変、及び削除から保護する。

3.3.9 監査機能の管理を特権利用者の一部に制限する。

3.4 構成管理


3.4.1 個別のシステム開発ライフサイクル全体で、組織のシステム (ハードウェア、ソフトウェア、フ

ァームウェア、及び文書を含めて) のベースライン構成とインベントリを確立し、維持する。

3.4.2 組織のシステムで採用された情報技術製品のセキュリティ構成設定を確立し、強制 (実施) する。


3.4.3 組織のシステムへの変更を追跡、レビュー、承認／非承認、及び監査する。

3.4.4 実装に先立ち、変更のセキュリティへの影響を分析する。

3.4.5 組織のシステムへの変更に関連する物理的及び論理的なアクセス制約事項を定義し、文書化し、

承認し、強制 (実施) する。

3.4.6 基本機能のみを提供するように組織のシステムを構成することによって、小機能の原則を採用

する。


第 3 章 PAGE 11

3.4.7 非基本プログラム、機能、ポート、プロトコル、及びサービスの使用を制限、無効化、及び防止

する。

3.4.8 許可されないソフトウェアの使用を防止するために例外による拒否 (ブラックリスト) ポリシー

を、または許可されたソフトウェアの実行を許可するような例外による許可 (ホワイトリスト) ポリシーを適用する。

3.4.9 利用者がインストールしたソフトウェアを管理し、監視する。

3.5 識別と認証


3.5.1 システム利用者、利用者を代行して動作するプロセス、またはデバイスを識別する。

3.5.2 組織のシステムへのアクセスの許可に対する必要条件として、それらの利用者、プロセス、また

はデバイスのアイデンティティを認証(または検証)する。


3.5.3 複数要素の認証22を、特権アカウントへのローカル及びネットワークアクセス23のために、及び非

特権アカウントへのネットワークアクセスのために、使用する。

3.5.4 特権及び非特権アカウントへのネットワークアクセスのために、リプレイ耐性のある認証メカニ

ズムを採用する。

3.5.5 定義された期間について、識別コードの再利用を禁止する。

3.5.6 定義された非アクティブな期間の後、識別子を無効化する。

3.5.7 新しいパスワードが作成されるとき、小パスワード複雑性及び文字列の変更を強制(実施)する。

3.5.8 規定された生成回数の間、パスワードの再利用を禁止する。

3.5.9 永久パスワードへ直ちに変更するようなときのシステムログインのために一時的パスワードの使

用を許可する。

3.5.10 暗号学的に保護されたパスワードのみを格納及び送信する。

3.5.11 認証情報のフィードバックを目に見えないようにする。

3.6 インシデント対応


3.6.1 適切な準備、検知、分析、抑制 (封じ込め)、リカバリ、及び利用者対応アクティビティを含めて、

組織のシステムのための運用上のインシデントハンドリング能力を確立する。

3.6.2 組織の内部及び外部の両方の、適切な担当官及び／または権威に対して、インシデントについて

22 複数要素認証は、2 つ以上の異なる要素を認証達成のために要求する。要素には以下を含む：あなたが知っている

何か（例、パスワード／PIN）；あなた持っている何か（例、暗号識別デバイス、トークン）；あなたである何か（例、

生体情報）。複数要素認証の要件は、連邦政府個人本人性検証（PIV：Personal Identity Verification）カードまたは国防総

省共通アクセスカード（CAC）のようなソリューションを要求するものとして解釈されるべきではない。トークンや生

体情報を用いるようなさまざまな複数要素ソリューション（リプレイ耐性を持つものを含む）が市販され、利用可能で

ある。このようなソリューションは、利用者クレデンシャルを格納するハードトークン（例、スマートカード、キーフ

ォブ、またはドングル）またはソフトトークンを採用してもよい。

23 ローカルアクセスは、ネットワークの利用なしに直接の接続を通して通信している利用者（または利用者を代行する

プロセス）による情報システムへのアクセスである。ネットワークアクセスは、ネットワーク（例、ローカルエリアネ

ットワーク、ワイドエリアネットワーク、インターネット）を通して通信している利用者（または利用者を代行するプ

ロセス）による情報セシステムへのアクセスである。


第 3 章 PAGE 12

の追跡、文書化、及び報告を行う。


3.6.3 組織のインシデント対応能力をテストする。

3.7 メンテナンス


3.7.1 組織のシステムにおいてメンテナンスを実施する。24

3.7.2 システムメンテナンスを実施するために使用されるツール、手法、メカニズム、及び要員におけ

る有効な管理策を提供する。


3.7.3 オフサイトのメンテナンスのために除去される装置は、あらゆる CUI についてサニタイズされ

ることを保証する。

3.7.4 組織のシステム内でメディアが使用される前に、悪意のあるコードが入っていないか診断及びテ

ストプログラムを用いてメディアをチェックする。

3.7.5 外部のネットワークコネクションを介した非ローカルメンテナンスセションを確立するため、複

数要素の認証を要求し、非ローカルメンテナンスの完了時にこのようなセションを終了する。

3.7.6 必要なアクセス許可なしにメンテナンス要員のメンテナンス活動を監督する。

3.8 メディア保護


3.8.1 紙及びディジタルの両方の、CUI を含む、システムメディアを保護する(即ち、物理的に制御及

びセキュアに格納する)。

3.8.2 システムメディア上の CUI へのアクセスを許可された利用者に制限する。

3.8.3 廃棄または再利用のために手放す前に、CUI を含むシステムメディアをサニタイズまたは破壊す

る。


3.8.4 CUI のマーク表示と配付制限が必要なメディアに対して表示を行う。25

3.8.5 CUI を含むメディアへのアクセスを制御し、管理エリアの外部への持ち出し中のメディアの説明

責任を維持する。

3.8.6 代替の物理的予防手段による保護がない限り、持ち出し中はディジタルメディア上に格納された

CUI の機密性を保護するための暗号学的メカニズムを実装する。

3.8.7 システムコンポーネント上の取り外し可能なメディアの使用を管理する。

3.8.8 ポータブルストレージデバイスに識別可能な所有者がいないとき、このようなデバイスの使用を

禁止する。

24 一般に、システムメンテナンス要件は、可用性のセキュリティ対策方針をサポートする傾向がある。しかし、不適

切なシステムメンテナンスまたはメンテナンス実行時の不具合は、CUI の不正な暴露をもたらす可能性がある、すな

わち、その情報の機密性を危殆化する。

25 本要件の実装は、32 CFR、Part 2002、及び CUI レジストリにおけるマーク付けガイダンスの完成を条件としてい

る。


第 3 章 PAGE 13

3.8.9 保存場所にあるバックアップ CUI の機密性を保護する。

3.9 人的セキュリティ


3.9.1 CUI を含む組織のシステムへのアクセスを許可する前に、個人を審査する。

3.9.2 離職または配置転換等の人事措置の間と後で、CUI 及び CUI を含む組織のシステムが保護され

ることを保証する。

導出されたセキュリティ要件：なし

3.10 物理的保護


3.10.1 組織のシステム、装置、及びそれぞれの運用環境への物理的アクセスを許可された個人に制限す

る。

3.10.2 物理的設備を保護し、監視し、組織のシステムの基盤をサポートする。


3.10.3 訪問者をエスコートし、訪問者の活動を監視する。

3.10.4 物理的アクセスの監査ログを維持する。

3.10.5 物理的アクセスデバイスを制御し、管理する。

3.10.6 代替の作業サイト(例、テレワークのサイト)での CUI に対する防護対策を強制(実施)する。

3.11 リスクアセスメント


3.11.1 組織のシステムの運用と関連する CUI の処理、ストレージ、または送信からの結果として、組

織の運用(ミッション、職務、イメージ、または風評を含めて)、組織の資産、及び個人に対する

リスクを定期的にアセスメントする。


3.11.2 定期的に、及び組織のシステムとアプリケーションに影響する新しい脆弱性が識別されるとき

に、それらのシステム及びアプリケーションの脆弱性についてスキャンする。

3.11.3 リスクのアセスメントに従い、脆弱性を修正する。

3.12 セキュリティアセスメント


3.12.1 管理策がそれらのアプリケーションにおいて有効であるかどうかを決定するために、組織のシス

テムにおけるセキュリティ管理策を定期的にアセスメントする。

3.12.2 欠陥を修正し、組織のシステムにおける脆弱性を軽減し、または取り除くために設計された行動

計画を策定し、実施する。

3.12.3 管理策の継続的な有効性を保証するため、継続的にセキュリティ管理策を監視する。


第 3 章 PAGE 14

3.12.4 システムの境界、システムの運用環境、セキュリティ要件の実装方法、及び他のシステムとの関

係または他のシステムへのコネクションについて記述した、システムセキュリティ計画26を策

定、文書、及び定期的に更新する。

導出されたセキュリティ要件：なし

3.13 システムと通信の保護


3.13.1 外部の境界及びシステムの鍵となる内部境界における通信 (即ち、組織のシステムによって送信

または受信される情報) を監視し、制御し、保護する。

3.13.2 組織のシステム内の有効な情報セキュリティを促進するような、アーキテクチャ設計、ソフトウ

ェア開発手法、及びシステムエンジニアリングの原則を採用する。


3.13.3 利用者機能をシステム管理機能と分離する。

3.13.4 共有システム資源を介した、不正な予期せぬ情報の転送を防止する。

3.13.5 内部ネットワークから物理的にまたは論理的に分離される、公開アクセス可能なシステムコンポ

ーネント用には、サブネットワークを実装する。

3.13.6 デフォルトでネットワーク通信トラフィクを拒否し、また例外によってネットワーク通信トラフ

ィクを許可する(即ち、すべて拒否、例外で許可)。

3.13.7 リモートデバイスが、組織のシステムとの非リモートコネクションの確立と同時に、外部ネット

ワークの資源への何らかの他のコネクションを介して通信することを防止する。

3.13.8 代替の物理的予防手段による保護がない限り、持ち出し中に CUI の不正な暴露を防止するため

に暗号学的メカニズムを実装する。

3.13.9 セション終了時または定義された非アクティブな時間の経過後に、通信セションに対応するネッ

トワークコネクションを終了する。

3.13.10 組織のシステムで採用された暗号のための暗号鍵を確立し、管理する。

3.13.11 CUI の機密性を保護するために使用されるとき、FIPS 認証された暗号を採用する。

3.13.12 共同コンピューティングデバイスのリモートからの活性化を禁止し27、使用中のデバイスの兆候

をデバイスに存在する利用者に提供する。

3.13.13 モバイルコードの使用を管理し監視する。

3.13.14 VoIP 技術の使用を管理し、監視する。

3.13.15 通信セションの真正性を保護する。

3.13.16 保存された CUI の機密性を保護する。

3.14 システムと情報の完全性


26 システムセキュリティ計画の詳細についての所定のフォーマットまたは規定のレベルは定められていない。しか

し、組織は、3.12.4 の必須の情報がそれらの計画において適切に伝えられることを保証しなければならない。

27 ビデオ会議を活性化するために他者を呼び出したり、接続したりする参加者に信頼を置くような、ビデオ会議専用

システムは、除外される。


第 3 章 PAGE 15

3.14.1 タイムリーなやり方で情報及びシステムフローを識別し、報告し、訂正する。

3.14.2 組織のシステム内の適切な場所で、悪意のあるコードから保護を提供する。

3.14.3 システムセキュリティ警報及びアドバイザリを監視し、適切な対応アクションを取る。


3.14.4 新しいリリースが利用可能となったとき、悪意のあるコードからの保護メカニズムをアップデー

トする。

3.14.5 組織のシステムの定期的スキャン、及びファイルがダウンロードされ、開かれ、または実行され

るような、外部情報源からのファイルのリアルタイムスキャンを実行する。

3.14.6 内向き及び外向きの通信トラフィクを含めて、攻撃や潜在的な攻撃の兆候を検知するため、組織

のシステムを監視する。

3.14.7 組織のシステムの不正な使用を識別する。


第 3 章 PAGE 16

NARA, CUI 要件、及び FAR 条項

大統領行政命令 13556、管理された非格付け情報、2010 年 11 月 4 日付、は CUI プログラム

を制定し、大統領行政命令への適合を保証するために活動する大統領行政命令の執行行政機

関として国立公文書記録管理局（NARA）を指定した。CUI 行政機関は、監督責任と要件の決

定と同様に請負業者への NIST SP 800-171 の要件の適用のため、2017 年の１つの連邦調達

令（FAR）を制定すると予測されている。行政機関は、32 CFR Part 2002 における連邦政府

機関の監督を包含するようにも対処する。連邦政府の監督へのアプローチは、統一 CUI FAR条項、将来の理解、及び連邦政府機関とそれらの非連邦政府情報共有パートナー間の合意を

通して決定される。


附属書 A PAGE 17

附属書 A

参照文書

法律、大統領行政命令、政令、指令、標準及びガイドライン28

法令、大統領行政命令、及び政令

1. Federal Information Security Modernization Act of 2014 (P.L. 113-283), December 2014. http://www.gpo.gov/fdsys/pkg/PLAW-113publ283/pdf/PLAW-113publ283.pdf

2. 大統領行政命令 13556, Controlled Unclassified Information, November 2010. http://www.gpo.gov/fdsys/pkg/FR-2010-11-09/pdf/2010-28360.pdf

3. 大統領行政命令 13636, Improving Critical Infrastructure Cybersecurity, February 2013. http://www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf

4. 32 CFR Part 2002, Controlled Unclassified Information, September 2016.

標準、ガイドライン、及び指令

1. National Institute of Standards and Technology Federal Information Processing Standards Publication 199 (as amended), Standards for Security Categorization of Federal Information and Information Systems. http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf

2. National Institute of Standards and Technology Federal Information Processing Standards Publication 200 (as amended), Minimum Security Requirements for Federal Information and Information Systems. http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf

3. National Institute of Standards and Technology Special Publication 800-53 (as amended), Security and Privacy Controls for Federal Information Systems and Organizations. http://doi.org/10.6028/NIST.SP.800-53r4

4. National Institute of Standards and Technology Special Publication 800-60 (as amended), Guide for Mapping Types of Information and Information Systems to Security Categories, Volume 1. http://doi.org/10.6028/NIST.SP.800-60v1r1

5. National Institute of Standards and Technology Special Publication 800-60 (as amended), Guide for Mapping Types of Information and Information Systems to Security Categories, Volume 2. http://doi.org/10.6028/NIST.SP.800-60v2r1

6. National Institute of Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity (as amended). http://www.nist.gov/cyberframework

7. International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27001:2013, Information technology -- Security techniques -- Information security management systems -- Requirements, September 2013.

8. International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27002:2013, Information technology -- Security techniques -- Code of practice for information security controls, September 2013.

9. Committee on National Security Systems Instruction 4009 (as amended), National Information Assurance Glossary. https://www.cnss.gov

その他の情報源

1. National Archives and Records Administration, Controlled Unclassified Information Registry. https://www.archives.gov/cui/registry/category-list

28 具体的な発行日または改訂版数の付いていない本セクションの参照文書は、それらの出版物のも新のアップデ

ートを参照すると想定される。


附属書 B PAGE 18

附属書 B

用語集共通用語と定義

附属書 B は、SP 800-171 で利用されるセキュリティ用語の定義を提供する。本用語集で

特に定義されることなしに、本出版で資料されるすべての用語は、CNSS Instruction 4009、米国国家情報保証用語集に含まれる定義と一貫している。

政府機関（agency）行政機関（局）（executive agency）を参照。

アセスメント

（assessment）セキュリティ管理策アセスメント（security Control Assessment）を参照。

アセッサ（assessor）セキュリティ管理策アセッサ（security Control Assessor）を

参照。

監査ログ（audit log）[CNSSI 4009]

所与の期間のシステムアクセスの記録と実行された操作を含

めて、情報システム活動の時系列順の記録。

監査記録（audit record）

監査事象に関連する監査ログにおける個別のエントリ。

認証（authentication）[FIPS 200, adapted]

情報システムの資源へアクセスを許可する前に、しばしば利

用者、プロセス、またはデバイスの識別を検証すること。

可用性（availability） [44 U.S.C., Sec.3542]

情報へのアクセス及び情報の活用についてタイムリーかつ信

頼性をもって保証すること。

ベースライン構成所与の時点で正式にレビューされ合意された、変更管理手順

を介してのみ変更可能な、システム内の情報システムの文書

化された一連の仕様または構成項目。

ブラックリスト（blacklisting）

以下を特定するために利用されるプロセス：（i）情報システム

において実行することが許可されないソフトウェアプログラ

ム；または（ii）禁止された URL／ウェブサイト。

機密性（confidentiality） [44 U.S.C., Sec.3542]

個人のプライバシー及び専有情報の保護のための手段を含

め、情報アクセスと開示における許可された制限の維持。

構成管理（configuration management）

システム開発ライフサイクル全体を通しての情報技術製品と

情報システムの設定についての初期化、変更及び監視を介し

て、それらの製品及びシステムの完全性の確立と維持に焦点

を当てた活動の集まり。

構成設定（configuration settings）

セキュリティ法律及び／または情報システムの機能に影響を

与えるような、ハードウェア、ソフトウェアまたはファーム

ウェアを変更可能な一連のパラメタ。


附属書 B PAGE 19

管理された区域（controlled area）

提供された物理的及び手続き的保護が、情報及び／または情

報システム保護のために確率された要件を満たすために十分

であるという確信をその組織が持つような任意の区域または

空間。

管理された非格付け情

報（controlled unclassified information） [E.O. 13556]

法律政令、または政府全体のポリシーが安全防護または配布

管理を行うことを要求するような情報、大統領行政命令

13526, 格付けされた国家安全保障情報、2009 年 12 月 29 日

付、または以前のまたは後継の大統領行政命令、または 1954年の原子力エネルギー法、その改正を含む、の下で格付けさ

れる情報を除く。

CUI カテゴリまたはサ

ブカテゴリ（CUI categories or subcategories） [Title 32 CFR, Part 2002]

法律、政令、または政府全体のポリシーが安全防護または配

布の管理を要求するような情報の種別で、CUI 行政機関

（局）が承認し、CUI レジストリにリスト掲載したもの。

CUI 行政機関（局） CUI Executive Agent [Title 32 CFR, Part 2002]

国立公文書記録管理局（NARA）のことで、行政機関（省）に

わたる CUI プログラムを実施し、大統領行政命令 13556 に適

合するための連邦政府機関の活動を監督する。NARA は、情

報セキュリティ監督局（ISOO：Information Security Oversight Office）の長として本権限を委任されている。

CUI プログラム（CUI program） [Title 32 CFR, Part 2002]

行政機関（省）にわたるプログラムで、連邦政府機関による

CUI 取り扱いを標準化するもの。本プログラムは、大統領行

政命令 13556、32 CFR Part 2002、及び CUI レジストリによっ

て制定され、CUI に対する規則、組織及び手順を含む。

CUI レジストリ（CUI registry） [Title 32 CFR, Part 2002]

CUI の取り扱いに関するすべての情報、ガイダンス、ポリシ

ー、及び要件についてのオンラインリポジトリで、CUI 行政

機関（局）によるすべての発行を含む。その他の情報の間

に、CUI リポジトリは、承認された CUI カテゴリ及びサブカ

テゴリ特定し、それぞれについての概説を提供し、管理策の

基本を特定し、また CUI の利用手順を設定する、以下を含む

がそれに限らない：情報のマーク付け、保障措置、配送、配

布、再利用、及び廃棄。

運用の環境（environment of operation） [NIST SP 800-37, adapted]

情報システムで情報を処理、保存、及び送信する際の物理的

な周辺。

行政機関（局） executive agency [41 U.S.C., Sec. 403]

5 U.S.C., Sec. 105 で規定された連邦機関；5 U.S.C., Sec. 102 で規定された軍事機関；5 U.S.C., Sec. 104(1)で定義さ

れた独立機関；及び 31 U.S.C., Chapter 91 の条項の対象と

なる完全に政府保有の法人。


附属書 B PAGE 20

外部情報システム（ま

たはコンポーネント） external system (or component)

組織によって制定された権限付与の境界の外部にあり、その

組織が必須のセキュリティ管理策またはセキュリティ管理策

の有効性のアセスメントの適用について直接管理しないよう

な、情報システムまたは情報システムのコンポーネント。外部情報システムサー

ビス（external system service）

その組織の情報システムの権限付与境界の外部に実装され

（即ち、その組織の情報システムにより利用されるが、その

組織の情報システムの一部でない）、その組織が通常必須のセ

キュリティ管理策の適用またはセキュリティ管理策の有効性

のアセスメントを介して直接の管理を行わないような、情報

システムサービス。

外部情報システムサー

ビスプロバイダ（external system service provider）

さまざまな消費者―生産者関係を通してある組織への外部情

報システムサービスの提供者で、以下を含むがそれに限定さ

れない：ジョイントベンチャー；ビジネスパートナーシッ

プ；外部委託協定（即ち、契約、政府機関間の合意、ビジネ

ス協定の類を介して）；ライセンス契約；及び／またはサプラ

イチェイン取引。

外部ネットワーク（external network）

その組織によって管理されていないネットワーク。

連邦政府機関（federal agency）

行政機関（局）を参照。

連邦政府情報システム

（federal information system） [40 U.S.C., Sec.11331]

行政機関（局）によって、行政機関の請負業者によって、ま

たは行政機関を代行する別の組織によって利用され、運用さ

れる、情報システム。

FIPS 認証済み暗号（FIPS-validated cryptography）

FIPS Publication 140-2（その改正を含む）で規定される要件

を満たすために、暗号モジュール認証プログラム（CMVP）に

よって認証された暗号モジュール。CMVP 認証に先立つもの

として、その暗号モジュールは、暗号アルゴリズム認証プロ

グラム（CAVP）による認証テストに合格した暗号アルゴリズ

ム実装を採用するよう要求されている。NSA 承認済み暗号を

参照。

ファームウェア（firmware）

ハードウェア―通常は読み出し専用メモリ（ROM）またはプ

ログラム可能読み出し専用メモリ（PROM）に保存されたコ

ンピュータプログラムとデータで、そのプログラムとデータ

は、プログラムの実行中に動的に書き込み、または改変がで

きないもの。ハードウェア（hardware）

情報システムの物理的コンポーネント。ソフトウェア及びファームウェアを参照。

影響（impact）

情報または情報システムの機密性、完全性、または可用性の

喪失が及ぼす、組織の運用、組織の資産、個人、その他の組

織、または国（合衆国の国家安全保障上の利害を含む）に対

する影響。

影響値（impact value）

低度、中位、または高度の値として表現されるような、情報

（例、CUI）の機密性の危殆化からもたらされる評定された潜

在的な影響。


附属書 B PAGE 21

インシデント（incident） [FIPS 200,adapted]

情報システムまたはそのシステムが処理、保存、または送信

する情報の機密性、完全性、または可用性を実際にまたは潜

在的に危険にさらすような事象、またはセキュリティポリシ

ー、セキュリティ手順、または受け入れ可能な利用ポリシー

の違反または違反の差し迫った脅威を成す事象。

情報（information）

任意のメディアまたは形態の事実、データまたは意見のよう

な通信または知識の表現で、テキスト、数字、画像、地図、

談話、または音声映像を含む。

情報フロー制御（information flow control）

システム内の情報転送がセキュリティポリシーの違反となら

ないことを保証するための手続き

情報資源（information resources） [44U.S.C.,Sec.3502]

要員、装置、資金、及び情報技術のような、情報と関連する

資源。

情報セキュリティ（information security）[44U.S.C.,Sec.3542]

機密性、完全性及び可用性を提供するために許可されないア

クセス、利用、暴露、混乱、改変、または破壊からの情報と

情報システムの保護。

情報システム（information system） [44U.S.C.,Sec.3502]

情報の収集、処理、維持、利用、共有、配布、または廃棄の

ために体系化された情報資源の個別の集まり。

情報技術（information technology） [40U.S.C.,Sec.1401]

行政機関によって、自動化調達、データまたは情報の保存、

操作、管理、移動、制御、表示、スイッチ、交換、送信、受

信において利用されるような、任意の装置または相互接続さ

れたシステムまたは装置のサブシステム。前文の目的のた

め、その装置が行政機関によって直接利用されるか、または

以下のような行政機関との契約の下で請負業者によって利用

される場合、装置は行政機関によって利用されることにな

る：（i）このような装置の利用を要求する；または（ii）ある

サービスの性能の点で、またはある製品の供給の点で、かな

りの程度まで、このような装置の利用を要求する。用語情報技術には、コンピュータ、補助的な装置、ソフトウェア、フ

ァームウェア、及び同様の手順、サービス（サポートサービ

スを含めて）、及び関連する資源が含まれる。

インサイダー脅威（insider threat）

内部の者が米国のセキュリティに害をなすために、故意に無

意識に脅威完全性（integrity） [44U.S.C.,Sec.3542]

不適切な情報改変または破壊に対する保護、及び情報否認防

止と真正性の保証を含む。


附属書 B PAGE 22

内部ネットワーク（internal network）

セキュリティ管理策の確立、維持、及びプロビジョニングが

組織の従業員または請負業者の直接の管理下にある；または

組織が管理する複数の端点間で実装される暗号カプセル化ま

たは同様なセキュリティ技術が同様な効果を提供する（機密

性と完全性に関して）であるようなネットワーク。内部ネッ

トワークは通常組織所有のものであるが、組織が所有しない

が組織の管理下にあるものかもしれない。

小限の特権（least privilege）

それぞれのエンティティがその機能を実行するために必要な

小限のシステム資源と権限を保証されるようにセキュアリ

ティアーキテクチャが設計されるべき原理。ローカルアクセス（local access）

ネットワークの利用なしに直接の接続を介して通信してい

る、利用者（または利用者を代行するプロセス）による組織

の情報システムへのアクセス。

悪意のあるコード（malicious code）

情報システムの機密性、完全性、または可用性に不利な影響

を与えるような、許可されない処理を実行することを意図し

たソフトウェアまたはファームウェア。ウィルス、ワーム、

トロイの木馬、またはホストに感染するその他のコードベー

スのエンティティ。スパイウェアと何らかの形態のアドウェ

アについても、悪意のあるコードの例である。

メディア（media） [FIPS 200]

物理メディアまたは書き物で、以下を含むがそれに限定され

ない：情報システム内で、情報が記録され、保存され、印刷

されたような、磁気テープ、光ディスク、磁気ディスク、大

規模集積回路（LSI）メモリチップ、及び印刷物（ただし、表

示メディアは含まない）。

モバイルコード（mobile code）

明示的なインストールまたは受信者による実行なしに、リモ

ートの情報システムから取得され、ネットワークを介して送

信され、ローカル情報システム上で実行されたソフトウェア

プログラムまたはプログラムの一部。

モバイルデバイス（mobile device）

以下のような、可搬のコンピューティングデバイス：（i）個人

によって容易に持ち運び可能なように小さい形状のもの；

（ii）物理的接続なしに操作するよう設計されたもの（例、無

線での情報の送信または受信）；（iii）ローカルで処理、取り外

し可能でないまたは取り外し可能なデータストレージ；及び

（iv）電源内蔵。モバイルデバイスには音声通信機能、情報を

取り込むことを可能にする基盤上のセンサ、及び／または離

れた場所でのローカルデータを同期するビルトイン機能が含

まれる。例としてはスマートホン、タブレット、及び電子リ

ーダが含まれる。

多要素認証（multifactor authentication）

認証を達成するために 2 つ以上の異なる要素を用いた認証。

要素には、あなたが知っている何か（例、パスワード／

PIN）；あなた持っている何か（例、暗号識別デバイス、トー

クン）；あなたである何か（例、バイオメトリック）を含む。

認証コードを参照。


附属書 B PAGE 23

連邦政府外の情報シス

テム（nonfederal information system）

連邦政府情報システムの基準を満たさないような情報システ

ム。

連邦政府外の組織（nonfederal organization）

連邦政府外の情報システムを所有し、運用し、または維持す

るエンティティ。

連邦政府外のシステム nonfederal system

連邦政府システムの基準を満たさないようなシステム

ネットワーク（network）

相互接続されたコンポーネントの集まりと共に実装された情

報システム。このようなコンポーネントには、ルータ、ハ

ブ、ケーブル、通信制御器、鍵配付センタ、及び技術的な管

理デバイスが含まれるかもしれない。

ネットワークアクセス（network access）

ネットワーク（例、ローカルエリアネットワーク、ワイドエ

リアネットワーク、インターネット）を介して通信している

利用者（または利用者を代行するプロセス）による情報シス

テムへのアクセス。

非ローカルメンテナン

ス（nonlocal maintenance）

ネットワークまたは外部ネットワーク（例、インターネッ

ト）または内部ネットワークを通して通信している個人によ

って行われるメンテナンス活動。

on behalf of (an agency) [32 CFR Part 2002]

A situation that occurs when: (i) a non-executive branch entity uses or operates an information system or maintains or collects information for the purpose of processing, storing, or transmitting Federal information; and (ii) those activities are not incidental to providing a service or product to the government.

組織（organization） [FIPS 200, Adapted]

組織的な構造内の任意の規模、複雑さ、または位置付けのエ

ンティティ。

ポータブルストレージ

デバイス（portable storage device）

情報システムに対して挿入可能で、取り外し可能な、情報シ

ステムコンポーネントで、データまたは情報（例、テキス

ト、ビデオ、音声、及び／または画像データ）を保存するた

めに使用されるもの。このようなコンポーネントは、通常磁

気、高額または半導体デバイス（例、フロッピーディスク、

コンパクト／ディジタルビデオディスク、フラッシュ／サム

ドライブ、外部ハードディスクドライブ、及び不揮発性メモ

リを内蔵するようなフラッシュメモリカード／ドライブ）上

に実装される。

潜在的な影響（potential impact） [FIPS 199]

機密性、完全性、または可用性の喪失は、以下を引き起こす

と想定される：組織の運営、組織の資産または個人に対して

（i）限定された不利な影響（FIPS Publication 199 低度）；

（ii）深刻な不利な影響（FIPS Publication 199 中位）；または

（ii）厳しいまたは壊滅的な不利な影響（FIPS Publication 199高度）。


附属書 B PAGE 24

特権アカウント（privileged account）

特権ユーザの権限を付与された情報システムアカウント。

特権ユーザ（privileged user）

通常の利用者が実行を許可されないようなセキュリティ関連

の機能を実行することを許可されている（ゆえに、信頼され

ている）利用者。

記録（records）組織及び情報システムが意図した通り実行されていることを

検証するための基礎として提供される、実行された活動の証

拠または達成された結果（例、様式、報告書、テスト結果）

の記録（自動化された及び／または手動の）。関連するデータ

フィールドの単位へ参照するためにも利用される（すなわ

ち、プログラムによってアクセス可能で特定の項目について

の完全な情報を含むような、一団のデータフィールド）。リモートアクセス（remote access）

外部ネットワーク（例、インターネット）を通して通信して

いる利用者（または利用者を代行するプロセス）による組織

の情報システムへのアクセス。

リモートメンテナンス（remote maintenance）

外部ネットワーク（例、インターネット）を通して通信して

いる個人によって行われるメンテナンス活動。

リプレイ耐性（replay resistance）

Protection against the capture of transmitted authentication or access control information and its subsequent retransmission with the intent of producing an unauthorized effect or gaining unauthorized access

リスク（risk） [FIPS 200, Adapted]

あるエンティティが潜在的な環境または事象、及び通常は以

下の機能による脅威を持つような程度についての尺度：（i）環

境または事象が発生する場合発生する不利な影響；及び（ii）出来事の確からしさ。情報システム関連のセキュリティリストは、情報または情報

システムの機密性、完全性、または可用性の喪失から発生す

るようなリスクであり、組織的な運用（ミッション、機能、

イメージ、または評判を含む）、組織の資産、個人、その他の

組織、及び国家への潜在的な不利な影響を反映する。

リスクアセスメント（risk assessment）

情報システムの運用からもたらされる、組織的な運用（ミッ

ション、機能、イメージ、評判を含む）、組織の資産、個人、

その他の組織、及び国家に対するリスクを特定するプロセ

ス。

サニタイゼ―ション（sanitization）

通常は何らかの形態の無害化、異常な手段の両方によって、

回復不能なメディア上に書かれたデータを表示するために取

られるアクション。データ回復が可能でないようにメディアから情報削除する処

理。すべての格付けされたレベル、マーク付け、及び活動ロ

グの削除を含む。


附属書 B PAGE 25

セキュリティ（security）

情報システムの利用に対する脅威によって直面するリスクに

関わらずそのミッションまたは重要な機能を企業が実行する

ことを可能とするような保護的な対策の確立と維持からもた

らされるような状態。保護的対策には、企業のリスク管理ア

プローチの一部を構成するべき抑止力、回避、防止、検知、

回復、及び訂正の組み合わせが含まれてもよい。

セキュリティアセスメ

ント（security assessment）

セキュリティ管理策アセスメントを参照。

セキュリティ管理策（security control） [FIPS 199, Adapted]

情報の機密性、完全性、及び可用性を保護するため、定義さ

れた一連のセキュリティ要件を満たすように設計された情報

システムまたは組織についてあらかじめ規定された保障措置

または対策。

セキュリティ管理策ア

セスメント（security control assessment） [FIPS 199, Adapted]

管理策がどの程度。正しく実装され、意図した通り運用さ

れ、情報システムまたは組織に対するセキュリティ要件の満

足に関する望ましい結果を生成しているかを決定するため

の、セキュリティ管理策のテストまたは評価。

セキュリティ機能（security functionality）

組織の情報システムまたはそれらのシステムが動作する環境

内で実装された、セキュリティ関連の特徴、機能、メカニズ

ム、サービス、手順及びアーキテクチャ。

セキュリティ機能（security functions）

システムセキュリティポリシーの強制に責任のある、保護の

基礎となるコードとデータの分離をサポートしている、情報

システムのハードウェア、ソフトウェア、及び／またはファ

ームウェア。

セキュリティ関連（security relevance）

Functions or mechanisms that are relied upon, directly or indirectly, to enforce a security policy that governs confidentiality, integrity, and availability protections.

分散トンネリング（split tunneling）

The process of allowing a remote user or device to establish a non-remote connection with a system and simultaneously communicate via some other connection to a resource in an external network. This method of network access enables a user to access remote devices (e.g., a networked printer) at the same time as accessing uncontrolled networks.

補足ガイダンス（supplemental guidance）

セキュリティ管理策またはセキュリティ拡張管理策のための

追加の説明情報を提供するために利用されるステートメン

ト。

システム（system）

情報システムを参照。


附属書 B PAGE 26

システムコンポーネン

ト（system component） [NIST SP 800-128, adapted]

A discrete, identifiable information technology asset (hardware, software, firmware) that represents a building block of a system. System components include commercial information technology products.

システムセキュリティ

計画（system security plan）

A document that describes how an organization meets the security requirements for a system or how an organization plans to meet the requirements. In particular, the system security plan describes the system boundary; the environment in which the system operates; how the security requirements are implemented; and the relationships with or connections to other systems.

システムサービス（system service）

A capability provided by a system that facilitates information processing, storage, or transmission.

脅威（threat） [CNSSI 4009, Adapted]

情報システムを通して、情報の許可されないアクセス、破

壊、暴露、改変、及び／またはサービスの拒否を介して、組

織の運用（ミッション、機能、イメージ、または評判を含

む）、組織の資産、個人、その他の組織、または国家に不利な

影響を与える可能性のある状況または事象。

利用者（user） [CNSSI 4009, Adapted]

情報システムをアクセスする権限を付与された、個人、また

は個人を代行する（システム）処理。

ホワイトリスト（whitelisting）

以下を特定するために利用される処理：（i）情報システム上で

実行する権限を付与されているソフトウェアプログラム；ま

たは（ii）許可された URL／ウェブサイト。ワイヤレス技術

（wireless technology）

Technology that permits the transfer of information between separated points without physical connection.


附属書 C PAGE 27

附属書 C

頭字語共通の略語

CFR Code of Federal Regulations (米国連邦行政規則集)

CIO Chief Information Officer ( 高情報責任者)

CNSS Committee on National Security Systems (米国国家安全保障システム委員会)

CUI Controlled Unclassified Information (管理された非格付け情報)

FIPS Federal Information processing Standards (米国連邦情報処理規格)

FISMA Federal Information Security Modernization Act (米国連邦情報セキュリティ

近代化法)

ISO/IEC International Organization for Standardization / International Electrotechnical Commission (国際標準化機構／国際電気標準会議)

ISOO Information Security Oversight Office (情報保全監察局)

ITL Information Technology Laboratory (NIST 情報技術ラボラトリ)

NARA National Archives and Records Administration (米国国立公文書記録管理局)

NFO Nonfederal Organization (連邦政府外の組織)

NIST National Institute of Standards and Technology (米国国立標準技術研究所)

OMB Office of Management and Budget (行政管理予算庁)

SP Special Publication (特別発行文書)


附属書 D PAGE 28

附属書 D

マッピング表 CUI セキュリティ要件のセキュリティ管理策へのマッピング

表 D-1 から D-14 は、セキュリティ要件の NIST SP 800-53 の関連するセキュリティ管理策への

非形式的なマッピングを提供する。マッピングテーブルは、情報提供目的のみのために含まれて

おり、第 3 章で定義された要件を超えたセキュリティ要件を伝えることを意図していない。さ

らに、セキュリティ管理策が連邦政府機関のために開発されたゆえに、それらの管理策に対応す

る補足ガイダンスは、連邦政府外の組織に適用されなくてもよい。ある場合には、関連するセキ

ュリティ管理策には、CUI を保護するために要求されるものを超えた追加の想定を含み、第 2 章

の基準を用いて調整される。表には、SP 800-53 から附属書 A、ISO/IEC 27001 の関連する管理

策までのセキュリティ管理策の 2 番目のマッピングを含まれることもある。NIST から ISO/IECへのマッピングは、SP 800-53 附属書 A から得られる。アスタリスク(*)は、ISO/IEC 管理策が

NIST 管理策の意図を十分に満たさないことを示す。CUI のための調整のため、基本または導出

されたセキュリティ要件の満足は、NIST SP 800-53 からの対応するセキュリティ管理策または

拡張管理策が満たされたことを意味しない、なぜなら CUI の機密性の保護に基本的でないよう

な管理策または拡張管理策の具体的なエレメントがそれらの要件に反映されていないからであ

る。

NIST 重要インフラのサイバーセキュリティ改善のフレームワークを実装した、または実装する

計画の組織は、フレームワークのコア機能：識別、保護、検知、応答、及び回復に対応するカテ

ゴリ及びサブカテゴリの等価な管理策を配置するため、NIST SP 800-53 及び ISO/IEC 27001 の

セキュリティ管理策へのセキュリティ要件のマッピングを利用することが可能である。セキュ

リティ管理策マッピング情報は、確立した情報セキュリティプログラムにおけるセキュリティ

要件への適合を実証したい組織は、このようなプログラムが NIST または ISO/IEC セキュリテ

ィ管理策を取り込んで構築されたときに役立てることが可能である。


附属書 D PAGE 29

表 D- 1：アクセス制御要件のセキュリティ管理策へのマッピング

CUI セキュリティ要件 NIST SP 800-53 関連セキュリティ管理策

ISO/IEC 27001 関連セキュリティ管理策

3.1 アクセス制御

基本セキュリティ要件

3.1.1 システムアクセスを許可され

た利用者、許可された利用者

を代行して動作するプロセ

ス、またはデバイス(その他

のシステムを含めて) に制

限する。

3.1.2 システムアクセスを許可さ

れた利用者に対して実行が

許可された種類のトランザ

クション及び機能に制限す

る。

AC-2 アカウント管理 A.9.2.1 利用者登録及び登録抹消

A.9.2.2 利用者アクセスの提供

（provisioning） A.9.2.3 特権的アクセス権の管理

A.9.2.5 利用者アクセス権のレビ

ュー

A.9.2.6 アクセス権の削除又は修

正

AC-3 アクセス制御の実施 A.6.2.2 テレワーキング

A.9.1.2 ネットワーク及びネット

ワークサービスへのアク

セス

A.9.4.1 情報へのアクセス制限

A.9.4.4 特権的なユーティリティ

プログラムの使用

A.9.4.5 プログラムソースコード

へのアクセス制御

A.13.1.1 ネットワーク管理策

A.14.1.2 公衆ネットワーク上のア

プリケーションサービス

のセキュリティの考慮

A.14.1.3 アプリケーションサービ

スのトランザクションの

保護

A.18.1.3 記録の保護

AC-17 リモートアクセス A.6.2.1 モバイル機器の方針

A.6.2.2 テレワーキング


A.13.2.1 情報転送の方針と手順





3.1.3 承認された権限付与に従っ

て CUI のフローを制御する。 AC-4 情報フロー制御の実施 A.13.1.3 ネットワークの分離



附属書 D PAGE 30







スのランザクションの保

護

3.1.4 共謀のない悪意のあるアク

ティビティのリスク低減の

ため、個人の職務を分離す

る。

AC-5 職務の分離 A.6.1.2 職務の分離

3.1.5 具体的なセキュリティ機能

と特権カウントを含め、特権

の小化の原則を採用する。

AC-6 特権の小化

A.9.1.2 ネットワーク及びネット

ワークサービスへのアク

セス

A.9.2.3 特権的アクセス権の管理

A.9.4.4 特権的なユーティリティ

プログラムの使用



AC-6(1) 特権の小化セキュリティ機能へのアクセスを許可する

直接のマッピングなし

AC-6(5) 特権の小化特権アカウント


3.1.6 非セキュリティ機能をアク

セスするときは、非特権アカ

ウントまたは役割を使用す

る。

AC-6(2) 特権の小化非セキュリティ機能の非特権アクセス


3.1.7 非特権利用者による特権機

能の実行とこのような機能

の実行の監査を防止する。

AC-6(9) 特権の小化特権機能の利用の監査


AC-6(10) 特権の小化特権機能の実行を非特権利用者に禁止する


3.1.8 ログイン試行失敗を制限す

る。 AC-7 ログイン試行の失敗 A.9.4.2 セキュリティに配慮した

ログオン手順

3.1.9 適用可能な CUI 規則と整合

性のあるプライバシーとセ

キュリティの通知を提供す

る。

AC-8 システムの利用に関す

る通知 A.9.4.2 セキュリティに配慮した

ログオン手順

3.1.10 非アクティブな時間の経

過後、データのアクセス及

び閲覧を防止するため、パ

タンによる不可視化表示

を用いてセションロック

を使用する。

AC-11 セションのロック A.11.2.8 無人状態にある利用者装

置 A.11.2.9 クリアデスク・クリアスク

リーン方針

AC-11(1) セションのロックパタンによる不可視化表示


3.1.11 定義された条件の後、利用

者セションを（自動的に）

終了する。

AC-12 セションの終了直接のマッピングなし


附属書 D PAGE 31



3.1.12 リモートアクセスセショ

ンを監視し、制御する。 AC-17(1) リモートアクセス

自動化された監視／管理


3.1.13 リモートアクセスセショ

ンの機密性を保護するた

めに暗号メカニズムを採

用する。

AC-17(2) リモートアクセス暗号化を用いた機密性／完全性の保護


3.1.14 管理されたアクセス制御

ポイントを介してリモー

トアクセスをルーティン

グする。

AC-17(3) リモートアクセス管理されたアクセス制御ポイント


3.1.15 特権コマンドのリモート

実行とセキュリティ関連

情報へのリモートアクセ

スを許可する。

AC-17(4) リモートアクセス特権コマンド／アクセス


3.1.16 無線のコネクションを許

可する前に無線アクセス

を許可する。

AC-18 無線アクセスの制限 A.6.2.1 モバイル機器の方針 A.13.1.1 ネットワーク管理策


3.1.17 認証と暗号化を用いて無

線アクセスを保護する。 AC-18(1) 無線アクセス

認証と暗号化直接のマッピングなし

3.1.18 モバイルデバイスのコネ

クションを制御する。 AC-19 携帯機器に対するアク

セス制御 A.6.2.1 モバイル機器の方針 A.11.2.6 構外にある装置及び資産

のセキュリティ


3.1.19 モバイルデバイスおよび

モバイルコンピューティ

ングプラットフォーム上

の CUI を暗号化する。

AC-19(5) 携帯機器に対するアク

セス制御デバイス全体／コンテナベースの暗号化


3.1.20 外部システムへのコネク

ション及び使用を検証し、

制御／制限する。

AC-20 外部情報システムの利

用 A.11.2.6 構外にある装置及び資産

のセキュリティ A.13.1.1 ネットワーク管理策


AC-20(1) 外部情報システムの利

用許可された利用の制限


3.1.21 外部システム上での組織

のポータブルストレージ

デバイスの使用を制限す

る。

AC-20(2) 外部情報システムの利

用ポータブルストレージデバイス


3.1.22 公開アクセス可能なシス

テムにおいて掲載または

処理される CUI を制御す

る。

AC-22 公的アクセス可能なコ

ンテンツ直接のマッピングなし


附属書 D PAGE 32

表 D- 2：意識向上と訓練要件のセキュリティ管理策へのマッピング



3.2 意識向上と訓練


3.2.1 組織のシステムの責任者、シ

ステム管理者、及び利用者

が、彼らのアクティビティに

関連するセキュリティリス

ク及びそれらのシステムの

セキュリティに関連する適

用可能なポリシー、基準、及

び手順について周知されて

いることを、保証する。

3.2.2 組織の要員が、その割り当て

られた情報セキュリティ関

連の職務と責任を遂行する

ために適切に訓練されてい

ることを、保証する。

AT-2 セキュリティの意識向

上 A.7.2.2 情報セキュリティの意識

向上、教育及び訓練

A.12.2.1 マルウェアに対する管理

策

AT-3 ロールベースのセキュ

リティトレーニング A.7.2.2* 情報セキュリティの意識



3.2.3 内部からの脅威の潜在指標

の認識と報告についてのセ

キュリティ周知訓練を提供

する。

AT-2(2) セキュリティの意識向

上内部の脅威



附属書 D PAGE 33

表 D- 3：監査と責任追跡性要件のセキュリティ管理策へのマッピング



3.3 監査と責任追跡性


3.3.1 非合法の、許可されない、また

は不適切な情報システムアク

ティビティの監視、分析、調査、

及び報告を可能とするために

必要な範囲で、情報システム監

査記録を作成、保護、及び維持

する。

3.3.2 個別の情報システム利用者の

アクションが、彼らのアクショ

ンについての説明責任を維持

可能にするよう、それらの利用

者に対して一意に追跡が可能

であることを保証する。

AU-2 監査対象のイベント直接のマッピングなし

AU-3 監査記録の内容 A.12.4.1* イベントログ取得

AU-3(1) 監査記録の内容追加の監査情報


AU-6 監査記録の監視、分析、

及び報告 A.12.4.1 イベントログ取得

A.16.1.2 情報セキュリティ事象の

報告


評価と決定

AU-12 監査の生成 A.12.4.1 イベントログ取得

A.12.4.3 実務管理者および運用担

当者の作業ログ


3.3.3 監査された事象をレビューし、

アップデートする。 AU-2(3) 監査対象のイベント

レビューとアップデート


3.3.4 監査プロセス失敗の事象にお

いてアラート(警告)を発する。 AU-5 監査処理エラーへの対

応直接のマッピングなし

3.3.5 監査記録のレビュー、分析、及

び調査のための報告プロセス

を集めて相互の関係を比較し、

不適切な、疑わしい、または異

常なアクティビティの兆候に

対応する。

AU-6(3) 監査記録の監視、分析、

及び報告監査リポジトリとの相互の関連付け


3.3.6 オンデマンド分析と報告をサ

ポートするため、監査情報の簡

素化と報告書生成を提供する。

AU-7 監査量の低減と報告書

の作成直接のマッピングなし

3.3.7 監査記録のタイムスタンプを

生成するための正式な情報源

を用いて、内部システムクロッ

クを比較し同期するような情

報システム機能を提供する。

AU-8 タイムスタンプ A.12.4.4 クロックの同期

AU-8(1) タイムスタンプ権威ある時刻ソースとの同期


3.3.8 監査情報と監査ツールを不正

なアクセス、改変、及び削除か

ら保護する。

AU-9 監査情報の保護 A.12.4.2 ログ情報の保護

A.12.4.3 実務管理者および運用担

当者の作業ログ



附属書 D PAGE 34



3.3.9 監査機能の管理を特権利用者

の一部に制限する。 AU-9(4) 監査情報の保護

特権利用者のサブセットによるアクセス



附属書 D PAGE 35

表 D- 4：構成管理要件のセキュリティ管理策へのマッピング29



3.4 構成管理


3.4.1 個別のシステム開発ライフサ

イクル全体で、組織のシステム

(ハードウェア、ソフトウェア、

ファームウェア、及び文書を含

めて) のベースライン構成と

インベントリを確立し、維持す

る。

3.4.2 組織のシステムで採用された

情報技術製品のセキュリティ

構成設定を確立し、強制 (実

施) する。

CM-2 ベースライン構成直接のマッピングなし

CM-6 構成設定直接のマッピングなし

CM-8 情報システムコンポー

ネントのインベントリ

A.8.1.1 資産目録

A.8.1.2 資産の管理責任

CM-8(1) 情報システムコンポー

ネントのインベントリインストレーション／除去中のアップデート



3.4.3 組織のシステムへの変更を追

跡、レビュー、承認／非承認、

及び監査する。

CM-3 構成変更管理 A.12.1.2 変更管理

A.14.2.2 システムの変更管理手順

A.14.2.3 オペレーティングプラッ

トフォーム変更後のアプ

リケーションの技術的レ

ビュー

A.14.2.4 パッケージソフトウェア

の変更に対する制限

3.4.4 実装に先立ち、変更のセキュリ

ティへの影響を分析する。 CM-4 構成変更の監視 A.14.2.3 オペレーティングプラッ



ビュー

3.4.5 組織のシステムへの変更に関

連する物理的及び論理的なア

クセス制約事項を定義し、文書

化し、承認し、強制 (実施) す

る。

CM-5 変更のためのアクセス

制限 A.9.2.3 特権的アクセス権の管理



A.12.1.2 変更管理

A.12.1.4 開発環境、試験環境及び

運用環境の分離

A.12.5.1 運用システムに関わるソ

フトウェアの導入

3.4.6 基本機能のみを提供するよう

に組織のシステムを構成する

ことによって、小機能の原則

を採用する。

CM-7 機能の小化 A.12.5.1* 運用システムに関わるソ


3.4.7 非基本プログラム、機能、ポー

ト、プロトコル、及びサービス

CM-7(1) 機能の小化定期的なレビュー


29 CM-7(5)、機能の小化ホワイトリストポリシーは、CUI を含む情報システムに対してより大きな保護を望む組織

に対して、CM-7(4)、機能の小化ブラックリストポリシーの代替策として列挙されている。CM-7(5)は、NIST SP 800-53 に従って高度なセキュリティ管理策ベースラインの連邦政府情報システムにおいてのみ要求される。


附属書 D PAGE 36



の使用を制限、無効化、及び防

止する。 CM-7(2) 機能の小化

プログラム実行の防止直接のマッピングなし

3.4.8 許可されないソフトウェアの

使用を防止するために例外に

よる拒否 (ブラックリスト)

ポリシーを、または許可された

ソフトウェアの実行を許可す

るような例外による許可 (ホ

ワイトリスト) ポリシーを適

用する。

CM-7(4) 機能の小化許可されないソフトウェア／ブラックリスト


CM-7(5) 機能の小化許可されたソフトウェア／ホワイトリスト


3.4.9 利用者がインストールしたソ

フトウェアを管理し、監視す

る。

CM-11 利用者がインストール

したソフトウェア A.12.5.1 運用システムに関わるソ


A.12.6.2 ソフトウェアのインスト

レーションの制限


附属書 D PAGE 37

表 D- 5：識別と認証要件のセキュリティ管理策へのマッピング30



3.5 識別と認証


3.5.1 システム利用者、利用者を代行

して動作するプロセス、または

デバイスを識別する。

3.5.2 組織のシステムへのアクセス

の許可に対する必要条件とし

て、それらの利用者、プロセス、

またはデバイスのアイデンテ

ィティを認証(または検証)する。

IA-2 ユーザ識別及び認証 A.9.2.1 利用者登録と登録抹消

IA-5 認証コードの管理 A.9.2.1 利用者登録と登録抹消

A.9.2.4 利用者の秘密認証情報の

管理

A.9.3.1 秘密認証情報の利用

A.9.4.3 パスワード管理システム


3.5.3 複数要素の認証を、特権アカ

ウントへのローカル及びネッ

トワークアクセスのために、

及び非特権アカウントへのネ

ットワークアクセスのために、

使用する。

IA-2(1) ユーザ識別及び認証特権アカウントへのネットワークアクセス


IA-2(2) ユーザ識別及び認証非特権アカウントへのネットワークアクセス


IA-2(3) ユーザ識別及び認証特権アカウントへのローカルアクセス


3.5.4 特権及び非特権アカウントへ

のネットワークアクセスのた

めに、リプレイ耐性のある認証

メカニズムを採用する。

IA-2(8) ユーザ識別及び認証特権アカウントへのネットワークアクセスーリプレイ耐性


IA-2(9) ユーザ識別及び認証非特権アカウントへのネットワークアクセスーリプレイ耐性


3.5.5 定義された期間について、識別

コードの再利用を禁止する。 IA-4 識別子の管理 A.9.2.1 利用者登録と登録抹消

30 IA-2(9)は、SP 800-53 中位セキュリティ管理策に現在含まれていないが、次回の更新でベースラインに追加される

だろう。非特権アカウントのためのリプレイ耐性機能なしの複数要素認証の採用は、CUI を伝送している情報システ

ムにとって、重大な脆弱性を作り込む。


附属書 D PAGE 38



3.5.6 定義された非アクティブな期

間の後、識別コードを無効化す

る。

IA-4 識別子の管理 A.9.2.1 利用者登録と登録抹消

3.5.7 新しいパスワードが作成され

るとき、小パスワード複雑性

及び文字列の変更を強制(実

施)する。

IA-5(1) 認証コードの管理

パスワードベース認証直接のマッピングなし

3.5.8 規定された生成回数の間、パス

ワードの再利用を禁止する。

3.5.9 永久パスワードへ直ちに変更

するようなときのシステムロ

グインのために一時的パスワ

ードの使用を許可する。

3.5.10 暗号学的に保護されたパスワ

ードのみを格納及び送信す

る。

3.5.11 認証情報のフィードバックを

不可視化する。 IA-6 認証コードのフィード

バック A.9.4.2 セキュリティに配慮した

ログオン手順


附属書 D PAGE 39

表 D- 6：インシデント対応要件のセキュリティ管理策へのマッピング



3.6 インシデント対応


3.6.1 適切な準備、検知、分析、抑制

(封じ込め)、リカバリ、及び利

用者対応アクティビティを含

めて、組織のシステムのための

運用上のインシデントハンド

リング能力を確立する。

3.6.2 組織の内部及び外部の両方の、

適切な担当官及び／または権

威に対して、インシデントにつ

いての追跡、文書化、及び報告

を行う。

IR-2 インシデント対応のト

レーニング A.7.2.2* 情報セキュリティの意識


IR-4 インシデントの対応 A.16.1.4 情報セキュリティ事象の

評価及び決定 A.16.1.5 情報セキュリティインシ

デントへの対応

A.16.1.6 情報セキュリティインシ

デントからの学習 IR-5 インシデントの監視直接のマッピングなし

IR-6 インシデントの報告 A.6.1.3 関係当局との連絡


報告

IR-7 インシデント対応の支

援直接のマッピングなし


3.6.3 組織のインシデント対応能力

をテストする。 IR-3 インシデント対応のテ

ストと実習直接のマッピングなし

IR-3(2) インシデント対応のテ

ストと実習関連する計画との調整



附属書 D PAGE 40

表 D- 7：メンテナンス要件のセキュリティ管理策へのマッピング



3.7 メンテナンス


3.7.1 組織のシステムにおいてメン

テナンスを実施する。

3.7.2 システムメンテナンスを実施

するために使用されるツール、

手法、メカニズム、及び要員に

おける有効な管理策を提供す

る。

MA-2 定期的な保守 A.11.2.4* 装置の保守 A.11.2.5* 資産の移動

MA-3 保守ツール直接のマッピングなし MA-3(1) 保守ツール

ツールを検査する直接のマッピングなし

MA-3(2) 保守ツールメディアを検査する



3.7.3 オフサイトメンテナンスのた

めに除去された装置は、あらゆ

る CUI についてサニタイズさ

れることを保証する。

MA-2 定期的な保守 A.11.2.4* 装置の保守

A.11.2.5* 資産の移動

3.7.4 組織のシステム内でメディア

が使用される前に、悪意のある

コードが入っていないか診断

及びテストプログラムを用い

てメディアをチェックする。

MA-3(2) 保守ツール


3.7.5 外部のネットワークコネクシ

ョンを介した非ローカルメン

テナンスセションを確立する

ため、複数要素の認証を要求

し、非ローカルメンテナンスの

完了時にこのようなセション

を終了する。

MA-4 遠隔保守直接のマッピングなし

3.7.6 必要なアクセス許可なしにメ

ンテナンス要員のメンテナン

ス活動を監督する。

MA-5 保守要員直接のマッピングなし


附属書 D PAGE 41

表 D- 8：メディアの保護要件のセキュリティ管理策へのマッピング31



3.8 メディア保護


3.8.1 紙及びディジタルの両方の、

CUI を含む、システムメディア

を保護する(即ち、物理的に制

御及びセキュアに格納する)。

3.8.2 システムメディア上の CUI へ

のアクセスを許可された利用

者に制限する。

3.8.3 廃棄または再利用のために手

放す前に、CUI を含むシステム

メディアをサニタイズまたは

破壊する。

MP-2 メディアへのアクセス A.8.2.3 資産の取扱い

A.8.3.1 取外し可能なメディアの

管理

A.11.2.9 クリアデスクとクリアス

クリーンの方針

MP-4 メディアの保管 A.8.2.3 資産の取扱い


管理

A.11.2.9 クリアデスク・クリアス

クリーン方針

MP-6 メディア上の記録の抹

消とメディアの廃棄 A.8.2.3 資産の取扱い


管理

A.8.3.2 メディアの処分

A.11.2.7 装置のセキュリティを保

った処分又は再利用


3.8.4 CUI のマーク表示と配付制限

が必要なメディアに対して表

示を行う。

MP-3 メディアへのラベル付

け A.8.2.2 情報のラベル付け

3.8.5 CUIを含むメディアへのアクセ

スを制御し、管理エリアの外部

への持ち出し中のメディアの

説明責任を維持する。

MP-5 メディアの輸送 A.8.2.3 資産の取扱い


管理

A.8.3.3 物理的メディアの輸送

A.11.2.5 資産の移動

A.11.2.6 構外にある装置及び資産


3.8.6 代替の物理的予防手段による

保護がない限り、持ち出し中は

ディジタルメディア上に格納

された CUI の機密性を保護す

るための暗号学的メカニズム

を実装する。

MP-5(4) メディアの輸送暗号学的保護


3.8.7 システムコンポーネント上の

取り外し可能なメディアの使

MP-7 メディアの利用 A.8.2.3 資産の取扱い

31 CP-9、情報システムのバックアップ、は緊急時対応計画ファミリが CUI セキュリティ要件に含まれな

かったので、メディアの保護ファミリに含まれる。


附属書 D PAGE 42



用を管理する。 A.8.3.1 取外し可能なメディアの

管理

3.8.8 ポータブルストレージデバイ

スに識別可能な所有者がいな

いとき、このようなデバイスの

使用を禁止する。

MP-7(1) メディアの利用

所有者以外の利用を禁止


3.8.9 保存場所にあるバックアップ

CUI の機密性を保護する。 CP-9 情報システムのバック

アップ A.12.3.1 情報のバックアップ

A.17.1.2 情報セキュリティ継続の

実装



附属書 D PAGE 43

表 D- 9：人的セキュリティ要件のセキュリティ管理策へのマッピング



3.9 人的セキュリティ


3.9.1 CUIを含む組織のシステムへの

アクセスを許可する前に、個人

を審査する。

3.9.2 離職または配置転換等の人事

措置の間と後で、CUI 及び CUIを含む組織のシステムが保護

されることを保証する。

PS-3 要員に対する審査 A.7.1.1 選考 PS-4 要員の解雇 A.7.3.1 雇用の終了又は変更に関

する責任 A.8.1.4 資産の返却

PS-5 人事異動 A.7.3.1 雇用の終了又は変更に関

する責任 A.8.1.4 資産の返却

導出されたセキュリティ要件なし


附属書 D PAGE 44

表 D- 10：物理的保護要件のセキュリティ管理策へのマッピング



3.10 物理的保護


3.10.1 組織のシステム、装置、及びそ

れぞれの運用環境への物理的

アクセスを許可された個人に

制限する。

3.10.2 物理的設備を保護し、監視し、

組織のシステムの基盤をサポ

ートする。

PE-2 物理的アクセス権限 A.11.1.2* 物理的入場管理策 PE-5 表示メディアへのアク

セス制御 A.11.1.2 物理的入場管理策

A.11.1.3 オフィス、部屋及び施設


PE-6 物理的アクセスの監視直接のマッピングなし


3.10.3 訪問者をエスコートし、訪問

者の活動を監視する。 PE-3 物理的アクセス制御

A.11.1.1 物理的セキュリティ境界

3.10.4 物理的アクセスの監査ログを

維持する。 A.11.1.2 物理的入場管理策

3.10.5 物理的アクセスデバイスを制

御し、管理する。 A.11.1.3 オフィス、部屋及び施設


3.10.6 代替の作業サイト(例、テレワ

ークのサイト)での CUI に対す

る防護対策を強制(実施)する。

PE-17 代替作業拠点 A.6.2.2 テレワーク

A.11.2.6 構外にある装置及び資産


A.13.2.1 情報輸送の方針及び手順


附属書 D PAGE 45

表 D- 11：リスクアセスメント要件のセキュリティ管理策へのマッピング



3.11 リスクアセスメント


3.11.1 組織のシステムの運用と関連

する CUI の処理、ストレージ、

または送信からの結果として、

組織の運用(ミッション、職務、

イメージ、または風評を含め

て)、組織の資産、及び個人に対

するリスクを定期的にアセス

メントする。

RA-3 リスクアセスメント

A.12.6.1* 技術的ぜい弱性の管理


3.11.2 定期的に、及び組織のシステ

ムとアプリケーションに影響

する新しい脆弱性が識別され

るときに、それらのシステム及

びアプリケーションの脆弱性

についてスキャンする。

RA-5 脆弱性のスキャン A.12.6.1* 技術的ぜい弱性の管理

RA-5(5) 脆弱性のスキャン特権アクセス


3.11.3 リスクアセスメントに従い、

脆弱性を修正する。 RA-5 脆弱性のスキャン A.12.6.1* 技術的ぜい弱性の管理


附属書 D PAGE 46

表 D- 12：セキュリティアセスメント要件のセキュリティ管理策へのマッピング



3.12 セキュリティアセスメント


3.12.1 管理策がそれらのアプリケー

ションにおいて有効であるか

どうかを決定するために、組織

のシステムにおけるセキュリ

ティ管理策を定期的にアセス

メントする。

3.12.2 欠陥を修正し、組織のシステ

ムにおける脆弱性を軽減し、ま

たは取り除くために設計され

た行動計画を策定し、実施す

る。

3.12.3 管理策の継続的な有効性を保

証するため、継続的にセキュリ

ティ管理策を監視する。

3.12.4 システムの境界、システムの

運用環境、セキュリティ要件の

実装方法、及び他のシステムの

関係または他のシステムとの

コネクションについて記述す

るような、システムセキュリテ

ィ計画を策定、文書及び定期的

に更新する。

CA-2 セキュリティア評価 A.14.2.8 システムセキュリティの

試験 A.18.2.2 情報セキュリティのため

の方針群及び標準の順守

A.18.2.3 技術的順守のレビュー CA-5 行動計画とマイルスト

ン直接のマッピングなし

CA-7 継続的な監視直接のマッピングなし

PL-2 システムセキュリティ

計画 A.6.1.2 情報セキュリティリスク

アセスメント

導出されたセキュリティ要件なし


附属書 D PAGE 47

表 D- 13：システム及び通信の保護要件のセキュリティ管理策とのマッピング32



3.13 システムと通信の保護


3.13.1 外部の境界及びシステムの

鍵となる内部境界における

通信 (即ち、組織のシステム

によって送信または受信さ

れる情報) を監視し、制御

し、保護する。

3.13.2 組織のシステム内の有効な

情報セキュリティを促進す

るような、アーキテクチャ設

計、ソフトウェア開発手法、

及びシステムエンジニアリ

ングの原則を採用する。

SC-7 境界保護 A.13.1.1 ネットワーク管理策

A.13.1.3 ネットワークの分離

A.13.2.1 情報転送の方針及び手順



保護

SA-8 セキュリティエンジニ

アリングの原則 A.14.2.5 セキュリティに配慮した

システム構築の原則


3.13.3 利用者機能をシステム管理

機能と分離する。 SC-2 アプリケーションの分

離直接のマッピングなし

3.13.4 共有システム資源を介した、

不正な予期せぬ情報の転送

を防止する。

SC-4 残存情報直接のマッピングなし

3.13.5 内部ネットワークから物理

的にまたは論理的に分離さ

れる、公開アクセス可能なシ

ステムコンポーネント用に

は、サブネットワークを実装

する。

SC-7 境界保護 A.13.1.1 ネットワーク管理策

A.13.1.3 ネットワークの分離




保護

3.13.6 デフォルトでネットワーク

通信トラフィクを拒否し、ま

た例外によってネットワー

ク通信トラフィクを許可す

る(即ち、すべて拒否、例外

で許可)。

SC-7(5) 境界保護デフォルトで拒否／例外で許可


3.13.7 リモートデバイスが、組織の

システムとの非リモートコ

ネクションの確立と同時に、

外部ネットワークの資源へ

の何らかの他のコネクショ

ンを介して通信することを

防止する。

SC-7(7) 境界保護リモートデバイスのスピリットトンネルを禁止


32 SA-8、セキュリティエンジニアリングの原則、はシステム及びサービスの調達ファミリはセキュリティ要件に含ま

れていなかったので、システム及び通信の保護ファミリに含まれる。


附属書 D PAGE 48



3.13.8 代替の物理的予防手段によ

る保護がない限り、持ち出し

中に CUI の不正な暴露を防

止するために暗号学的メカ

ニズムを実装する。

SC-8 伝送する情報の完全性 A.8.2.3 資産の取扱い



A.13.2.3 電子的メッセージ通信






保護

SC-8(1) 伝送する情報の完全性暗号学的保護または代替の物理的保護


3.13.9 セション終了時または定義

された非アクティブな時間

の経過後に、通信セションに

対応するネットワークコネ

クションを終了する。

SC-10 ネットワークの切断 A.13.1.1 ネットワーク管理策

3.13.10 組織のシステムで採用され

た暗号のための暗号鍵を確

立し、管理する。

SC-12 暗号鍵の確立と管理 A.10.1.2 鍵管理

3.13.11 CUI の機密性を保護するた

めに使用されるとき、FIPS認証された暗号を採用する。

SC-13 暗号化の利用 A.10.1.1 暗号による管理策の利用

方針






保護

A.18.1.5 暗号化機能に対する規制

3.13.12 共同コンピューティングデ

バイスのリモートからの活

性化を禁止し、使用中のデバ

イスの兆候をデバイスに存

在する利用者に提供する。

SC-15 共同コンピューティン

グデバイス A.13.2.1* 情報転送の方針及び手順

3.13.13 モバイルコードの使用を管

理し、監視する。 SC-18 モバイルコード直接のマッピングなし

3.13.14 VoIP 技術の使用を管理し監

視する。 SC-19 ボイスオーバーインタ

ーネットプロトコル(VoIP)



附属書 D PAGE 49



3.13.15 通信セションの真正性を保

護する。 SC-23 セションの真正性直接のマッピングなし

3.13.16 保存された CUI の機密性を

保護する。 SC-28 保存情報の保護 A.8.2.3* 資産の取扱い


附属書 D PAGE 50

表 D- 14：システム及び情報の完全性要件のセキュリティ管理策へのマッピング



3.14 システムと情報の完全性


3.14.1 タイムリーなやり方で情報

及びシステムフローを識別

し、報告し、訂正する。

3.14.2 組織のシステム内の適切な

場所で、悪意のあるコードか

ら保護を提供する。

3.14.3 システムセキュリティ警報

及びアドバイザリを監視し、

適切な対応アクションを取

る。

SI-2 欠陥の修正 A.12.6.1 技術的ぜい弱性の管理

A.14.2.2 システムの変更管理手順

A.14.2.3 オペレーティングプラッ



ビュー A.16.1.3 情報セキュリティ弱点の

報告

SI-3 悪意のコード(不正プ

ログラム) からの保護


策

SI-5 セキュリティ警報と勧

告

A.6.1.4* 専門組織との連絡


3.14.4 新しいリリースが利用可能

となったとき、悪意のあるコ

ードからの保護メカニズム

をアップデートする。

SI-3 悪意のコード(不正プ

ログラム) からの保護


策

3.14.5 組織のシステムの定期的ス

キャン、及びファイルがダウ

ンロードされ、開かれ、また

は実行されるような、外部情

報源からのファイルのリア

ルタイムスキャンを実行す

る。

3.14.6 内向き及び外向きの通信ト

ラフィクを含めて、攻撃や潜

在的な攻撃の兆候を検知す

るため、組織のシステムを監

視する。

SI-4 情報システムの監視ツ

ールと監視技法直接のマッピングなし

SI-4(4) 情報システムの監視ツ

ールと監視技法内向きと外向きの通信トラフィク


3.14.7 組織のシステムの不正な使

用を識別する。 SI-4 情報システムの監視ツ

ールと監視技法直接のマッピングなし


附属書 E PAGE 51

附属書 E

基準の調整 CUI 中位のセキュリティ管理策ベースラインのリスト作成とアクションの調整

本附属書は、第 3 章に記述された終版 CUI セキュリティ要件についての FIPS Publication 200に沿った情報源のひとつとして、NIST SP 800-53 中位ベースラインのセキュリティ管理策の完

全なリストを提供する。表 E-1 から E-17 は、NIST 及び NARA によって制定された基準の調整

に従って、中位ベースラインのセキュリティ管理策について実行されることになるアクション

の調整を含む。33 アクションの調整は、FIPS Publication 200 のセキュリティ要件から得られる

基本セキュリティ要件を補足するような CUI 導出セキュリティ要件の作成を促進した。34

以下を含めて、中位ベースラインからのセキュリティ管理策または拡張管理策を軽減するよう

な、３つの主たる基準がある―

管理策または拡張管理策が、連邦政府専用である（即ち、主として連邦政府の責任）；

管理策または拡張管理策が、CUI の機密性保護に直接関連しない35、または

管理策または拡張管理策が規定なしに連邦政府外の組織によって日常的に満たされると想

定される。36

以下のシンボルは、表 E-1 から E-17 で、特定のアクションの調整がなされるよう規定するため、

または要求されたアクションの調整がないとき、使用される。

調整のシンボル

基準の調整

NCO CUI の機密性保護に直接関連しない FED 連邦政府専用、主として連邦政府の責任である NFO 規定なしに連邦政府外の組織によって日常的に満たされると想定される CUI CUI 基本または導出されたセキュリティ要件が反映され、かつセキュリティ

管理策、拡張管理策または管理策／拡張管理策の具体的なエレメントに対し

てトレース可能である

33 組織は、NIST SP 800-53、附属書 I で定義されるとおり CUI 機密性オーバーレイを構築するため、附属書 E の情

報を利用できる。 34 同様の調整基準が、第 2 章と附属書 D に記述される CUI 基本セキュリティ要件をもたらしている FIPS Publication 200 のセキュリティ要件に適用された。 35 本書の主たる目的は CUI の機密性保護するための要件を定めることであるが、機密性と完全性のセキュリティ対策

の間には緊密な関係がある。ゆえに、許可されない暴露に対する保護をサポートするような NIST SP 800-53 の中位ベ

ースラインのほとんどのセキュリティ管理策は、許可されない改変に対する保護についてもサポートする。 36 CUI の保護に関する SP 800-53 の中位ベースラインから調整されたセキュリティ管理策(即ち、表 E-1 から E-17 で

の NCO,または NFO のいずれかのマークを特に付けられた管理策) は、組織の包括的なセキュリティプログラムの一

部としてしばしば含まれる。


附属書 E PAGE 52

表Ｅ- 1：アクセス制御のアクション調整

NIST SP 800-53 中位ベースラインセキュリティ管理策

アクショ

ンの調整

AC-1 アクセス制御方針と手順 NFO AC-2 アカウント管理 CUI AC-2(1) アカウント管理／自動化システムアカウント管理 NCO AC-2(2) アカウント管理／一時的／緊急時アカウントの抹消 NCO AC-2(3) アカウント管理／非アクティブなアカウントの無効化 NCO AC-2(4) アカウント管理／自動化監査アクション NCO AC-3 アクセス制御の実施 CUI AC-4 情報フロー制御の実施 CUI AC-5 職務の分離 CUI AC-6 特権の小化 CUI AC-6(1) 特権の小化／セキュリティ機能へのアクセスを許可する CUI AC-6(2) 特権の小化／非セキュリティ機能の非特権アクセス CUI AC-6(5) 特権の小化／特権アカウント CUI AC-6(9) 特権の小化／特権機能の利用の監査 CUI AC-6(10) 特権の小化／特権機能の実行を非特権利用者に禁止する CUI AC-7 ログイン試行の失敗 CUI AC-8 システムの利用に関する通知 CUI AC-11 セションのロック CUI AC-11(1) セションのロック／パタンによる不可視化表示 CUI AC-12 セションの終了 CUI AC-14 識別または認証なしでの許可されたアクション FED AC-17 リモートアクセス CUI AC-17(1) リモートアクセス／自動化された監視／管理 CUI AC-17(2) リモートアクセス／暗号化を用いた機密性／完全性の保護 CUI AC-17(3) リモートアクセス／管理されたアクセス制御ポイント CUI AC-17(4) リモートアクセス／特権コマンド／アクセス CUI AC-18 無線アクセス CUI AC-18(1) 無線アクセス／認証と暗号化 CUI AC-19 モバイルデバイスのアクセス制御 CUI AC-19(5) モバイルデバイスのアクセス制御／デバイス全体／コンテナベースの暗

号化 CUI

AC-20 外部情報システムの利用 CUI AC-20(1) 外部情報システムの利用／許可された利用の制限 CUI AC-20(2) 外部情報システムの利用／ポータブルストレージデバイス CUI AC-21 情報共有 FED AC-22 公共アクセス可能なコンテンツ CUI


附属書 E PAGE 53

表Ｅ- 2：意識向上と訓練の管理策のアクション調整


アクショ

ンの調整

AT-1 セキュリティの意識向上と訓練の方針と手順 NFO AT-2 セキュリティの意識向上と訓練 CUI AT-2(2) セキュリティの意識向上／内部犯行の脅威 CUI AT-3 役割ベースのセキュリティ訓練 CUI AT-4 セキュリティ訓練記録 NFO


附属書 E PAGE 54

表Ｅ- 3：監査と責任追跡性の管理策のアクション調整


アクショ

ンの調整

AU-1 監査と責任追跡性方針と手順 NFO AU-2 監査対象の事象 CUI AU-2(3) 監査対象の事象／レビューとアップデート CUI AU-3 監査記録の内容 CUI AU-3(1) 監査記録の内容／追加の監査情報 CUI AU-4 監査記録の保存容量 NCO AU-5 監査処理の不具合に対する対応 CUI AU-6 監査記録のレビュー、分析、及び報告 CUI AU-6(1) 監査記録のレビュー、分析、及び報告／プロセス統合 NCO AU-6(3) 監査記録のレビュー、分析、及び報告／監査リポジトリとの相互の関連付

け CUI

AU-7 監査量の低減と報告書の作成 CUI AU-7(1) 監査量の低減と報告書の作成／自動生成処理 NCO AU-8 タイムスタンプ CUI AU-8(1) タイムスタンプ／権威ある時刻ソースとの同期 CUI AU-9 監査情報の保護 CUI AU-9(4) 監査情報の保護／特権利用者の一部によるアクセス CUI AU-11 監査記録の保持 NCO AU-12 監査情報の生成 CUI


附属書 E PAGE 55

表Ｅ- 4：セキュリティアセスメントと権限付与の管理策のアクション調整


アクショ

ンの調整

CA-1 セキュリティアセスメントと権限付与の方針と手順 NFO CA-2 セキュリティアセスメント CUI CA-2(1) セキュリティアセスメント／独立したアセッサ NFO CA-3 情報システムの接続 NFO CA-3(5) 情報システムの接続／外部システム接続の制限 NFO CA-5 行動計画とマイルストン CUI CA-6 セキュリティに関する運用許可 FED CA-7 継続的な監視 CUI CA-7(1) 継続的な監視／独立したアセッサ NFO CA-9 内部の情報システムの接続 NFO


附属書 E PAGE 56

表Ｅ- 5：構成管理の管理策のアクション調整37


アクショ

ンの調整

CM-1 構成管理の方針と手順 NFO CM-2 ベースライン構成 CUI CM-2(1) ベースライン構成／レビューとアップデート NFO CM-2(3) ベースライン構成／以前の構成の維持 NCO CM-2(7) ベースライン構成／高リスク区域のシステム、コンポーネント、または

デバイスの構成 NFO

CM-3 構成変更管理 CUI CM-3(2) 構成変更管理／テスト／検証／文書の変更 NFO CM-4 セキュリティ上の影響分析 NFO CM-5 構成変更のためのアクセス制限 CUI CM-6 構成設定 CUI CM-7 機能の小化 CUI CM-7(1) 機能の小化／定期的なレビュー CUI CM-7(2) 機能の小化／プログラム実行の防止 CUI CM-7(4)(5) 機能の小化／許可されない、または許可される祖父音ウェア／ブラ

ックリストまたはホワイトリスト CUI

CM-8 情報システムコンポーネントのインベントリ CUI CM-8(1) 情報システムコンポーネントのインベントリ／インストール／除去中

のアップデート CUI

CM-8(3) 情報システムコンポーネントのインベントリ／自動化された許可されないコンポーネント検知

NCO

CM-8(5) 情報システムコンポーネントのインベントリ／コンポーネントの重複しないアカウント管理

NFO

CM-9 構成管理計画 NFO CM-10 ソフトウェア利用上の制限 NCO CM-11 利用者によりインストールされたソフトウェア CUI

37 CM-7(5)、機能の小化ホワイトリスト、は NIST SP 800-53 にしたがって、中位セキュリティ管理策にはない。し

かし、ブラックリストへのオプションの、より強い代替方針として提供される。


附属書 E PAGE 57

表Ｅ- 6：緊急時対応計画の管理策のアクション調整38


アクショ

ンの調整

CP-1 緊急時対応計画の方針と手順 NCO CP-2 緊急時対応計画 NCOCP-2(1) 緊急時対応計画／関連する計画との調整 NCOCP-2(3) 緊急時対応計画／基本的ミッション／ビジネス機能の復旧 NCOCP-2(8) 緊急時対応計画／重要な資産の特定 NCOCP-3 緊急時対応訓練 NCOCP-4 緊急時対応計画のテスト NCOCP-4(1) 緊急時対応計画のテスト／関連する計画と調整 NCOCP-6 代替保管拠点 NCOCP-6(1) 代替保管拠点／主たる拠点との分離 NCOCP-6(3) 代替保管拠点／アクセス性 NCOCP-7 代替処理拠点 NCOCP-7(1) 代替処理拠点／主たる拠点との分離 NCOCP-7(2) 代替処理拠点／アクセス性 NCOCP-7(3) 代替処理拠点／サービスの優先度 NCOCP-8 通信サービス NCOCP-8(1) 通信サービス／サービスプロビジョンの優先度 NCO CP-8(2) 通信サービス／単一障害点 NCO CP-9 情報システムのバックアップ CUI CP-9(1) 情報システムのバックアップ／信頼性／完全性のテスト NCOCP-10 情報システムの復旧と再構築 NCOCP-10(2) 情報システムの復旧と再構築／トランザクションの復旧 NCO

38 CP-9 は、緊急時対応計画ファミリが CUI セキュリティ要件に含まれなかったので、附属書 D のメディア保護ファ

ミリのセキュリティ管理策とともにグループ化されている。


附属書 E PAGE 58

表Ｅ- 7：識別と認証の管理策のアクション調整


アクショ

ンの調整

IA-1 識別と認証の方針と手順 NFO IA-2 識別と認証（組織の利用者） CUI IA-2(1) 識別と認証（組織の利用者）／特権アカウントへのネットワークアクセス CUI IA-2(2) 識別と認証（組織の利用者）／非特権アカウントへのネットワークアクセ

ス CUI

IA-2(3) 識別と認証（組織の利用者）／特権アカウントへのローカルアクセス CUI IA-2(8) 識別と認証（組織の利用者）／特権アカウントへのネットワークアクセス

－リプレイ耐性あり CUI

IA-2(9) 識別と認証（組織の利用者）／非特権アカウントへのネットワークアクセス－リプレイ耐性あり

CUI

IA-2(11) 識別と認証（組織の利用者）／リモートアクセス－デバイスを分離 FED IA-2(12) 識別と認証（組織の利用者）／ PIV クレデンシャルの受入れ FED IA-3 デバイスの識別と管理 NCO IA-4 識別子の管理 CUI IA-5 認証コードの管理 CUI IA-5(1) 認証コードの管理／パスワードベース認証 CUI IA-5(2) 認証コードの管理／ PKI ベース認証 FED IA-5(3) 認証コードの管理／本人または信頼される第三者の登録 FED IA-5(11) 認証コードの管理／ハードウェアトークンベース認証 FED IA-6 認証コードのフィードバック CUI IA-7 暗号モジュール認証 FED IA-8 識別と認証（組織外の利用者） FEDIA-8(1) 識別と認証（組織外の利用者）／他の政府機関からの PIV クレデンシャル

の受入れ FED

IA-8(2) 識別と認証（組織外の利用者）／第三者のクレデンシャルの受入れ FEDIA-8(3) 識別と認証（組織外の利用者）／ FICAM 承認された製品の利用 FEDIA-8(4) 識別と認証（組織外の利用者）／FICAM 発行されたプロファイルの利用 FED


附属書 E PAGE 59

表Ｅ- 8：インシデント対応の管理策のアクション調整


アクショ

ンの調整

IR-1 インシデント対応の方針と手順 NFO IR-2 インシデント対応の訓練 CUI IR-3 インシデント対応のテスト CUI IR-3(2) インシデント対応のテスト／関連する計画との調整 CUI IR-4 インシデントの対応 CUI IR-4(1) インシデントの対応／自動化されたインシデント対応処理 NCO IR-5 インシデントの監視 CUI IR-6 インシデントの報告 CUI IR-6(1) インシデントの報告／自動化された報告書作成 NCO IR-7 インシデント対応の支援 CUI IR-7(1) インシデント対応の支援／情報／サポートの利用可能性についての自

動化支援 NCO

IR-8 インシデント対応計画 NFO


附属書 E PAGE 60

表Ｅ- 9：メンテナンスの管理策のアクション調整


アクショ

ンの調整

MA-1 システムメンテナンスの方針と手順 NFO MA-2 管理されたメンテナンス CUI MA-3 メンテナンスツール CUI MA-3(1) メンテナンスツール／ツールの検査 CUI MA-3(2) メンテナンスツール／メディアの検査 CUI MA-4 遠隔メンテナンス CUI MA-4(2) 遠隔メンテナンス／遠隔メンテナンスについての文書化 NFO MA-5 メンテナンス要員 CUI MA-6 タイムリーなメンテナンス NCO


附属書 E PAGE 61

表Ｅ- 10：メディア保護の管理策のアクション調整


アクショ

ンの調整

MP-1 メディア保護の方針と手順 NFO MP-2 メディアへのアクセス CUI MP-3 メディアのマーク付け CUI MP-4 メディアの保管 CUI MP-5 メディアの輸送 CUI MP-5(4) メディアの輸送／暗号学的な保護 CUI MP-6 メディアのサニタイゼ―ション CUI MP-7 メディアの利用 CUI MP-7(1) メディアの利用／所有者以外の利用を禁止 CUI


附属書 E PAGE 62

表Ｅ- 11：物理的及び環境的な保護の管理策のアクション調整


アクショ

ンの調整

PE-1 物理的及び環境的な保護の方針と手順 NFO PE-2 物理的アクセス権限付与 CUI PE-3 物理的アクセス制御 CUI PE-4 送信メディアのアクセス制御 NFO PE-5 出力デバイスのアクセス制御 CUI PE-6 物理的アクセスの監視 CUI PE-6(1) 物理的アクセスの監視／侵入アラーム／監視装置 NFOPE-8 来訪者のアクセス記録 NFO PE-9 電源装置及び配線 NCO PE-10 非常時遮断 NCOPE-11 非常時電源 NCOPE-12 非常時照明 NCOPE-13 防火 NCOPE-13(3) 防火／自動消火機能 NCOPE-14 温度及び湿度の管理 NCOPE-15 浸水の損害からの保護 NCOPE-16 荷物の搬入と搬出 NFO PE-17 代替作業拠点 CUI


附属書 E PAGE 63

表Ｅ- 12：計画の管理策のアクション調整


アクショ

ンの調整

PL-1 セキュリティ計画作成の方針と手順 NFOPL-2 システムセキュリティ計画 NFOPL-2(3) システムセキュリティ計画／その他の組織エンティティとの調整 NFOPL-4 行動規則 NFOPL-4(1) 行動規則／ソーシャルメディアとネットワーク構築の制限 NFOPL-8 情報セキュリティアーキテクチャ NFO


附属書 E PAGE 64

表Ｅ- 13：人的セキュリティの管理策のアクション調整


アクショ

ンの調整

PS-1 人的セキュリティの方針と手順 NFO PS-2 職位リスクの指定 FED PS-3 要員に対する審査 CUI PS-4 要員の解雇 CUI PS-5 人事異動 CUI PS-6 アクセス契約 NFOPS-7 サードパーティ要員セキュリティ NFOPS-8 要員の処罰 NFO


附属書 E PAGE 65

表Ｅ- 14：リスクアセスメントの管理策のアクション調整


アクショ

ンの調整

RA-1 リスクアセスメントの方針と手順 NFO RA-2 セキュリティ分類 FED RA-3 リスクアセスメント CUI RA-5 脆弱性のスキャン CUI RA-5(1) 脆弱性のスキャン／アップデートツールの機能 NFO RA-5(2) 脆弱性のスキャン／定期的／新しいスキャンの前に／識別されたとき

に行われるアップデート NFO

RA-5(5) 脆弱性のスキャン／特権アクセス CUI


附属書 E PAGE 66

表Ｅ- 15：システム及びサービス調達の管理策のアクション調整39


アクショ

ンの調整

SA-1 システムとサービスの調達の方針と手順 NFO SA-2 資源の割り当て NFOSA-3 システム開発のライフサイクル NFOSA-4 調達プロセス NFOSA-4(1) 調達プロセス／セキュリティ管理策の機能特性 NFOSA-4(2) 調達プロセス／セキュリティ管理策の設計／実装の情報 NFOSA-4(9) 調達プロセス／使用中の機能／ポート／プロトコル／サービス NFOSA-4(10) 調達プロセス／承認された PIV 製品の利用 NFOSA-5 情報システムの文書化 NFOSA-8 システムエンジニアリングの原則 CUI SA-9 外部情報システムサービス NFOSA-9(2) 外部情報システムサービス／機能／ポート／プロトコル／サービスの

識別 NFO

SA-10 開発者の構成管理 NFOSA-11 開発者のセキュリティテストと評価 NFO

39 SA-8 は、システム及びサービスの調達ファミリがセキュリティ要件に含まれなかったので、附属書 D のシステム及び通信の保護ファミリのセキュリティ管理策と共にグループ化されている。


附属書 E PAGE 67

表Ｅ- 16：システム及び通信の保護の管理策のアクション調整


アクショ

ンの調整

SC-1 システム及び通信の保護の方針と手順 NFO SC-2 アプリケーションの分離 CUI SC-4 共有資源の情報 CUI SC-5 サービス妨害（DoS）からの保護 NCO SC-7 境界保護 CUI SC-7(3) 境界保護／アクセスポイント NFO SC-7(4) 境界保護／外部通信サービス NFO SC-7(5) 境界保護／デフォルト拒否／例外許可 CUI SC-7(7) 境界保護／リモートデバイスのスプリットトンネル禁止 CUI SC-8 送受信される情報の機密性と完全性 CUI SC-8(1) 送受信される情報の機密性と完全性／暗号化または代替の物理的保護 CUI SC-10 ネットワークの切断 CUI SC-12 暗号鍵の確立と管理 CUI SC-13 暗号学的保護 CUI SC-15 共同コンピューティングデバイス CUI SC-17 公開鍵基盤証明書 FED SC-18 モバイルコード CUI SC-19 ボイスオーバーインターネットプロトコル（VoIP） CUI SC-20 セキュアネーム／アドレスレゾリューションサービス（権威のあ

る情報源） NFO

SC-21 セキュアネーム／アドレスレゾリューションサービス（リカーシ

ブまたはキャッシュレゾルバ） NFO

SC-22 ネーム／アドレスレゾリューションサービスのアーキテクチャ及

び初期設定 NFO

SC-23 セションの真正性 CUI SC-28 保存情報の保護 CUI SC-39 プロセス分離 NFO


附属書 E PAGE 68

表Ｅ- 17：システム及び情報の完全性の管理策のアクション調整


アクショ

ンの調整

SI-1 システム及び情報の完全性に対する方針と手順 NFO SI-2 欠陥の修正 CUI SI-2(2) 欠陥の修正／自動化された欠陥修正の状態 NCO SI-3 悪意のあるコード（不正プログラム）からの保護 CUI SI-3(1) 悪意のあるコード（不正プログラム）からの保護／集中管理 NCO SI-3(2) 悪意のあるコード（不正プログラム）からの保護／自動アップデート NCO SI-4 情報システムの監視 CUI SI-4(2) 情報システムの監視／リアルタイム分析用の自動化されたツール NCO SI-4(4) 情報システムの監視／内向きと外向きの通信トラフィク CUI SI-4(5) 情報システムの監視／システムにより生成された警告 NFO SI-5 セキュリティ警報、勧告、指令 CUI SI-7 ソフトウェア、ファームウェア、及び情報の完全性 NCO SI-7(1) ソフトウェア、ファームウェア、及び情報の完全性／完全性チェック NCO SI-7(7) ソフトウェア、ファームウェア、及び情報の完全性／検出と応答の統合 NCO SI-8 スパムからの保護 NCO SI-8(1) スパムからの保護／集中管理 NCO SI-8(2) スパムからの保護／自動アップデート NCO SI-10 情報入力の妥当性確認 NCO SI-11 エラー処理 NCO SI-12 情報の取り扱いと保持 FED SI-16 メモリ保護 NFO

連邦政府外のシステムと 組織における管理 ... · 2014...

Documents

連邦政府外のシステムと組織における管理 ... · 2014...